Облачное приложение HR для подготовки пользователей Microsoft Entra

Исторически ИТ-специалисты опирались на методы ручного создания, обновления и удаления сотрудников. Они использовали для синхронизации данных сотрудников такие методы, как отправка CSV-файлов или пользовательские скрипты. Эти процессы подготовки имеют склонность к ошибкам. Они небезопасны и трудноуправляемы.

Для управления жизненным циклом удостоверений сотрудников, поставщиков или контингентов служба подготовки пользователей Microsoft Entra предлагает интеграцию с облачными приложениями кадров (HR). Примерами приложений являются Workday и SuccessFactors.

Идентификатор Microsoft Entra использует эту интеграцию для включения следующих процессов облачного приложения кадров (приложения):

• Подготовка пользователей в Active Directory. Подготовка выбранных наборов пользователей из облачного приложения HR в один или несколько доменов Active Directory.
• Подготовка облачных пользователей к идентификатору Microsoft Entra ID. В сценариях, когда Active Directory не используется, подготовьте пользователей непосредственно из облачного приложения hr в идентификатор Microsoft Entra.
• Вернитесь в облачное приложение отдела кадров: напишите адреса электронной почты и атрибуты имени пользователя из Microsoft Entra обратно в облачное приложение отдела кадров.

В следующем видео приводятся рекомендации по планированию интеграции подготовки на основе кадров.

Примечание.

В этом плане развертывания показано, как развернуть облачное приложение HR с помощью подготовки пользователей Microsoft Entra. Если вас интересуют приложения SaaS, ознакомьтесь со статьей Планирование развертывания автоматической подготовки пользователей.

Подготовка на основе API из любой системы управления персоналом

С помощью подготовки на основе API можно перенести удостоверения из любой системы записей в идентификатор Microsoft Entra. Вы можете использовать любое средство автоматизации для получения данных рабочей силы из системы записей и приема их в идентификатор Microsoft Entra ID. ИТ-администратор имеет полный контроль над обработкой и преобразованием данных с помощью сопоставлений атрибутов.

Включенные сценарии управления персоналом

Служба подготовки пользователей Microsoft Entra обеспечивает автоматизацию следующих сценариев управления жизненным циклом удостоверений на основе кадров:

• Новый сотрудник нанимает: добавление сотрудника в облачное приложение отдела кадров автоматически создает пользователя в Active Directory и Идентификаторе Microsoft Entra. Добавление учетной записи пользователя включает возможность записи обратного адреса электронной почты и атрибутов имени пользователя в облачное приложение отдела кадров.
• Обновления атрибутов и профилей сотрудников: когда запись сотрудника, например имя, название или руководитель, обновляется в облачном приложении hr, их учетная запись пользователя автоматически обновляется в Active Directory и идентификаторе Microsoft Entra.
• Завершение работы сотрудников: при завершении работы сотрудника в облачном приложении отдела кадров их учетная запись пользователя автоматически отключается в Active Directory и идентификаторе Microsoft Entra.
• Сотрудник повторно обновляется: когда сотрудник повторно обновляется в облачном приложении отдела кадров, их старая учетная запись может быть автоматически активирована или перепроверена в Active Directory и идентификаторе Microsoft Entra.

Для чего эта интеграция подходит лучше всего?

Интеграция облачного приложения управления персоналом с подготовкой пользователей Microsoft Entra идеально подходит для организаций, которые:

• Предварительно созданное облачное решение для подготовки пользователей в облачной системе управления персоналом.
• Требовать прямую подготовку пользователей из облачного приложения HR в Active Directory или идентификатор Microsoft Entra.
• Использовать подготовку пользователей с помощью данных, полученных из облачного приложения управления персоналом.
• Синхронизация пользователей, которые присоединяются, перемещаются и покидают его. Синхронизация происходит между одним или несколькими лесами Active Directory, доменами и подразделениями на основе только сведений об изменениях, обнаруженных в облачном приложении отдела кадров.
• Использовать электронную почту в Microsoft 365.

Learn

Подготовка пользователей — основа для системы управления удостоверениями. Она улучшает качество бизнес-процессов, которым требуются достоверные данные удостоверений.

Условия

В этой статье используются следующие термины:

• Исходная система: репозиторий пользователей, из которым подготавливает идентификатор Microsoft Entra. В нашем случае это облачное приложение для управления персоналом, например Workday или SuccessFactors.
• Целевая система: репозиторий пользователей, которым подготавливает идентификатор Microsoft Entra. Примерами являются Active Directory, Идентификатор Microsoft Entra, Microsoft 365 или другие приложения SaaS.
• Процесс "наем, перевод, увольнение" — кадровые операции, при которых облачное приложение для управления персоналом используется как система записей. Этот процесс завершается, когда служба успешно подготавливает необходимые атрибуты для целевой системы.

Ключевые преимущества

Такая возможность подготовки ИТ на основе управления персоналом обеспечивает следующие значительные преимущества для бизнеса:

• Повышение продуктивности. Вы сможете автоматизировать назначение учетных записей пользователей и лицензий Microsoft 365, а также предоставлять доступ к ключевым группам. Автоматизация назначений дает новым сотрудникам немедленный доступ к рабочим инструментам, повышая производительность.
• Управление рисками. Автоматизация изменений на основе статуса сотрудника или членства в группе для повышения безопасности. Эта автоматизация гарантирует автоматическое обновление удостоверений пользователей и доступа к ключевым приложениям. Например, обновление в приложении кадров при переходе пользователя или выходе из организации автоматически.
• Адрес соответствия требованиям и управления. Идентификатор Microsoft Entra поддерживает собственные журналы подготовки для запросов на подготовку пользователей, выполняемых приложениями исходной и целевой систем. С помощью аудита можно отслеживать наличие доступа к приложениям с одного экрана.
• Управление затратами. Автоматическая подготовка снижает затраты, избегая неэффективности и человеческой ошибки, связанной с подготовкой вручную. Это уменьшает потребность в индивидуальных решениях по подготовке пользователей, созданных с течением времени при использовании старых и устаревших платформ.

Лицензирование

Чтобы настроить облачное приложение hr для интеграции подготовки пользователей Microsoft Entra, требуется допустимая лицензия Microsoft Entra ID P1 или P2 и лицензия для облачного приложения hr, например Workday или SuccessFactors.

Кроме того, вам нужна допустимая лицензия на подписку На идентификатор Microsoft Entra ID P1 или более поздней версии для каждого пользователя, исходного из облачного приложения hr и подготовленного для идентификатора Active Directory или Microsoft Entra.

Использование рабочих процессов жизненного цикла и других функций Управление идентификацией Microsoft Entra в процессе подготовки требует лицензии Управление идентификацией Microsoft Entra.

Необходимые компоненты

• Роль администратора гибридного удостоверения для настройки агента подготовки Connect.
• Роль администратора приложения для настройки приложения подготовки.
• Тестовый и рабочий экземпляры облачного приложения для управления персоналом.
• Права администратора в облачном приложении для управления персоналом (нужны для создания пользователя системной интеграции и редактирования тестовых данных о сотрудниках).
• Для подготовки пользователей в Active Directory требуется сервер под управлением Windows Server 2016 или более поздней версии для размещения агента подготовки Microsoft Entra Connect. Этот сервер должен быть сервером уровня 0 на основе модели административного уровня Active Directory.
• Microsoft Entra Connect для синхронизации пользователей между Active Directory и Идентификатором Microsoft Entra.

Обучающие материалы

Ресурсы	Ссылка и описание
Видео	Что такое подготовка пользователей в идентификаторе Microsoft Entra?
	Развертывание подготовки пользователей в идентификаторе Microsoft Entra
Учебники	Список учебников по интеграции приложений SaaS с Microsoft Entra ID
	Руководство по настройке автоматической подготовки пользователей с помощью Workday
	Руководство по настройке автоматической подготовки пользователей с помощью SAP SuccessFactors
Вопросы и ответы	Автоматическая подготовка пользователей.
	Подготовка из Workday в идентификатор Microsoft Entra

Архитектура решения

В примере ниже рассматривается комплексная архитектура решения подготовки пользователей для распространенных гибридных сред. Ее компоненты:

• Достоверный поток данных об управлении персоналом из соответствующего облачного приложения в Active Directory. В этом потоке событие управления персоналом (процесс "наем, перевод, увольнение") инициируется в клиенте облачного приложения для управления персоналом. Служба подготовки Microsoft Entra и агент подготовки Microsoft Entra Connect подготавливают пользовательские данные из клиента облачного приложения hr app в Active Directory. В результате в Active Directory создается, изменяется, включается или отключается некий объект или операция (в зависимости от характера события).
• Синхронизация с идентификатором Microsoft Entra и записью обратного сообщения электронной почты и имени пользователя из локальная служба Active Directory в облачное приложение отдела кадров. После обновления учетных записей в Active Directory он синхронизируется с идентификатором Microsoft Entra через Microsoft Entra Connect. Адреса электронной почты и атрибуты имени пользователя можно записывать обратно в клиент облачного приложения.

Описание процесса подготовки

На схеме показаны следующие основные этапы:

1. Отдел кадров выполняет транзакции в облачном клиенте приложения отдела кадров.
2. Служба подготовки Microsoft Entra выполняет запланированные циклы из клиента облачного приложения отдела кадров и определяет изменения для синхронизации с Active Directory.
3. Служба подготовки Microsoft Entra вызывает агент подготовки Microsoft Entra Connect с полезными данными запроса, содержащими создание, обновление, включение и отключение операций.
4. Агент подготовки Microsoft Entra Connect использует учетную запись службы для управления данными учетной записи Active Directory.
5. Microsoft Entra Connect выполняет разностную синхронизацию для извлечения обновлений в Active Directory.
6. Обновления Active Directory синхронизируются с идентификатором Microsoft Entra.
7. Служба подготовки Microsoft Entra записывает атрибут электронной почты и имя пользователя из идентификатора Microsoft Entra в клиент облачного приложения hr app.

Планирование проекта развертывания

Учитывайте потребности организации при определении стратегии развертывания в вашей среде.

Привлечение соответствующих заинтересованных лиц

Причиной неудач технических проектов обычно являются неоправданные ожидания относительно их значимости и результатов, а также обязанностей сотрудников и заинтересованных лиц. Чтобы избежать этих ловушек, привлеките правильных заинтересованных лиц и проследите, чтобы их роли в проекте были хорошо понятны. Перечень заинтересованных лиц, их вклад в проект и сферу ответственности необходимо четко задокументировать.

Привлеките представителя отдела кадров, с которым можно будет консультироваться по поводу соответствующих бизнес-процессов и удостоверений сотрудников, а также требований к обработке данных о трудовой деятельности.

Планирование информирования

Информирование важно для успеха любой новой службы. Упреждающее взаимодействие с пользователями о том, когда и как меняется их взаимодействие. Объясните, как обратиться за поддержкой, если у них возникнут проблемы.

Планирование пилотного проекта

Для интеграции кадровых бизнес-процессов и рабочих процессов обработки удостоверений в облачном приложении для управления персоналом и в целевой системе требуется много работы. Это проверка, преобразование и очистка данных, а также полное тестирование. Только после этого решение можно будет развернуть в рабочей среде.

Прежде чем применять решение для всех пользователей в рабочем окружении, запустите начальную конфигурацию в экспериментальной среде.

Планирование потока данных кадров и сопоставления атрибутов

Чтобы убедиться, что правильные записи кадров сопоставляются с пользователями в идентификаторе Microsoft Entra (Id)/локальная служба Active Directory (AD), обратитесь к специалистам отдела кадров и ИТ-отделам, чтобы обеспечить согласованность данных и планирование любых задач очистки данных. Ниже приведен список рекомендаций по началу работы.

1. Соответствие идентификатора и уникальности. Служба подготовки использует соответствующий атрибут для уникальной идентификации и связывания записей пользователей в системе управления персоналом с соответствующими учетными записями пользователей в AD/Entra ID. Атрибут сопоставления по умолчанию основан на идентификаторе сотрудника. Убедитесь, что значение идентификатора сотрудника заполняется идентификатором Entra (только для облачных пользователей) и локальным AD (для гибридных пользователей) перед началом полной синхронизации и однозначно идентифицирует пользователя. 

2. Используйте фильтры области, чтобы пропустить записи кадров, которые больше не актуальны: системы кадров имеют несколько лет данных о занятости, вероятно, идут до 1970-х годов. С другой стороны, ИТ-команда может быть заинтересована только в списке текущих активных сотрудников и записей о прекращении работы, которые проходят после перехода в режиме реального времени. Чтобы отфильтровать записи отдела кадров, которые больше не относятся с точки зрения ИТ-отдела, обратитесь к команде отдела кадров, чтобы добавить флаги в запись отдела кадров, которую можно использовать в фильтрах подготовки Microsoft Entra. 

3. Планирование обработки специальных символов в имени пользователя. Обычно рекомендуется использовать имя и фамилию рабочей роли для создания уникального userPrincipalName пользователя. Не userPrincipalName допускает символы акцента, а только следующие символы допускаются A - Z, a - z, 0 - 9, ' . - _ ! # ^ ~. Используйте функцию NormalizeDiacritics для обработки символов акцента и создания соответствующих userPrincipalNameсимволов.

4. Планирование обработки длинных строк. Проверьте, имеют ли данные отдела кадров длинные строковые значения, связанные с полями кадров, которые будут использоваться для заполнения атрибутов Entra ID /локальных атрибутов AD. Каждый атрибут Идентификатора записи имеет максимальную длину строки. Если значение в поле кадров, сопоставленное с атрибутом Entra ID, содержит больше символов, обновление атрибута может завершиться ошибкой. Одним из вариантов является проверка сопоставления атрибутов и проверка возможности усечения или обновления длинных строковых значений в системе кадров. Если это не вариант, можно либо использовать такие функции, как Mid, чтобы усечь длинные строки, либо использовать такие функции, как Switch для сопоставления длинных значений с более короткими значениями или сокращенными значениями. 

5. Обработка пустых значений для обязательных атрибутов: обязательно заполнять определенные атрибуты, такие как firstName, lastNameCNили UPN при создании учетной записи в идентификаторе записи или локальном AD. Если соответствующее поле кадров, сопоставленного с такими атрибутами, равно null, операция создания пользователя завершается ошибкой. Например, если атрибут AD CN сопоставляется с отображаемым именем и если отображаемое имя не задано для всех пользователей, возникает ошибка. Одним из вариантов является проверка таких обязательных сопоставлений атрибутов и обеспечение заполнения соответствующих полей в hr. Можно также рассмотреть возможность проверки значений NULL в сопоставлении выражений. Например, если отображаемое имя является пустым, сцепляйте имя и фамилию для формирования отображаемого имени. 

Выбор приложений-соединителей для подготовки

Чтобы упростить подготовку Microsoft Entra из облачного приложения HR в Active Directory, можно добавить несколько приложений соединителя подготовки из коллекции приложений Microsoft Entra:

• Соединитель для подготовки пользователей из облачного приложения к Active Directory упрощает подготовку учетных записей пользователей из облачного приложения для одного домена Active Directory. Если у вас несколько доменов, можно добавить один экземпляр этого приложения из коллекции приложений Microsoft Entra для каждого домена Active Directory, в который необходимо подготовиться.
• Облачное приложение HR для подготовки пользователей Microsoft Entra: Microsoft Entra Connect — это средство, используемое для синхронизации локальных пользователей Active Directory с идентификатором Microsoft Entra. Облачное приложение hr для подготовки пользователей Microsoft Entra — это соединитель, используемый для подготовки пользователей только в облаке из облачного приложения HR в один клиент Microsoft Entra.
• Обратная запись облачного приложения отдела кадров. Это приложение соединителя подготовки упрощает запись адресов электронной почты пользователя из идентификатора Microsoft Entra в облачное приложение HR.

Например, на следующем рисунке перечислены приложения соединителя Workday, доступные в коллекции приложений Microsoft Entra.

Схема принятия решений

Эта схема поможет выбрать для вашего облачного приложения оптимальный соединитель.

Проектирование топологии развертывания агента подготовки Microsoft Entra Connect

Для интеграции между облачным приложением и Active Directory требуется четыре компонента:

• Клиент облачного приложения для управления персоналом
• Приложение-соединитель для подготовки
• Агент подготовки Microsoft Entra Connect
• Домен Active Directory

Топология развертывания агента подготовки Microsoft Entra Connect зависит от количества клиентов облачных приложений hr и дочерних доменов Active Directory, которые планируется интегрировать. Если у вас несколько доменов Active Directory, важно также учесть, связные они или несвязанные.

Определившись, выберите один из сценариев развертывания:

• Один арендатор облачного приложения -> один или несколько дочерних доменов Active Directory в доверенном лесу
• Один арендатор облачного приложения -> несколько дочерних доменов в несвязанном лесу Active Directory

Один арендатор облачного приложения -> один или несколько дочерних доменов Active Directory в доверенном лесу

Мы рекомендуем использовать следующую рабочую конфигурацию:

Требование	Рекомендация
Количество агентов подготовки Microsoft Entra Connect для развертывания.	Два (для обеспечения высокой доступности и отработки отказа).
Количество настроенных приложений соединителя подготовки.	Одно приложение на дочерний домен.
Узел сервера для агента подготовки Microsoft Entra Connect.	Windows Server 2016 с линией зрения на геолокации контроллеров домена Active Directory. Может сосуществовать со службой Microsoft Entra Connect.

Один арендатор облачного приложения -> несколько дочерних доменов в несвязанном лесу Active Directory

В этом сценарии предполагается подготовка пользователей из облачного приложения для управления персоналом к доменам в несвязанных лесах Active Directory.

Мы рекомендуем использовать следующую рабочую конфигурацию:

Требование	Рекомендация
Количество агентов подготовки Microsoft Entra Connect для развертывания локальной среды	Два в разных лесах Active Directory.
Количество приложений-соединителей для подготовки	Одно приложение на дочерний домен.
Узел сервера для агента подготовки Microsoft Entra Connect.	Windows Server 2016 с линией зрения на геолокации контроллеров домена Active Directory. Может сосуществовать со службой Microsoft Entra Connect.

Требования агента подготовки Microsoft Entra Connect

Облачное приложение для подготовки пользователей Active Directory требует развертывания одного или нескольких агентов подготовки Microsoft Entra Connect. Эти агенты должны быть развернуты на серверах под управлением Windows Server 2016 или более поздней версии. На серверах должно быть не менее 4 ГБ ОЗУ и среда выполнения .NET 4.7.1+. У сервера узла должен быть сетевой доступ к целевому домену Active Directory.

Чтобы подготовить локальную среду, мастер настройки агента подготовки Microsoft Entra Connect регистрирует агент в клиенте Microsoft Entra, открывает порты, разрешает доступ к URL-адресам и поддерживает конфигурацию прокси-сервера HTTPS исходящего трафика.

Агент подготовки настраивает глобальную управляемую учетную запись службы (GMSA) для взаимодействия с доменами Active Directory.

Вы можете выбрать контроллеры домена, которые должны обрабатывать запросы на подготовку. Если у вас есть несколько географически распределенных контроллеров домена, установите агент подготовки там же, где размещены предпочитаемые контроллеры. Так все решение будет работать надежнее и производительнее.

Для обеспечения высокой доступности можно развернуть несколько агентов подготовки Microsoft Entra Connect. Зарегистрируйте агент, чтобы он обрабатывал один и тот же набор локальных доменов Active Directory.

Проектирование топологии развертывания приложения подготовки HR

В зависимости от числа доменов Active Directory, участвующих в конфигурации подготовки входящих пользователей, можно рассмотреть одну из следующих топологий развертывания. Каждая схема топологии реализует конкретный пример сценария развертывания, чтобы подчеркнуть аспекты настройки. Используйте пример, который очень похож на требование развертывания, чтобы определить конфигурацию, соответствующую вашим потребностям.

Топология развертывания: одно приложение для подготовки всех пользователей из Облачного отдела кадров в один домен локальная служба Active Directory

Топология развертывания является наиболее распространенной топологией развертывания. Используйте эту топологию, если необходимо подготавливать всех пользователей из облачного приложения для управления персоналом в одном домене AD и применять одинаковые правила подготовки ко всем пользователям.

Ключевые аспекты конфигурации

• Настройте два узла агента подготовки для обеспечения высокой доступности и отработки отказа.
• Используйте мастер настройки агента подготовки для регистрации домена AD в клиенте Microsoft Entra.
• При настройке приложения подготовки выберите домен AD из раскрывающегося списка зарегистрированных доменов.
• Если вы используете фильтры области, настройте пропуск флага удаления области, чтобы предотвратить случайные деактивации учетной записи.

Топология развертывания 2. Разделение приложений для подготовки отдельных пользовательских наборов из облачного отдела кадров в один домен локальная служба Active Directory

Эта топология поддерживает бизнес-требования, в которых сопоставление атрибутов и логика подготовки отличаются в зависимости от типа пользователя (сотрудника или подрядчика), расположения пользователя или бизнес-подразделения пользователя. Эту топологию можно также использовать для делегирования администрирования и обслуживания подготовки входящих пользователей на основе деления или страны или региона.

Ключевые аспекты конфигурации

• Настройте два узла агента подготовки для обеспечения высокой доступности и отработки отказа.
• Создайте приложение подготовки HR2AD для каждого отдельного набора пользователей, который требуется подготовить.
• Используйте фильтры области в приложении подготовки , чтобы определить пользователей для обработки каждого приложения.
• В сценарии, в котором необходимо разрешить ссылки на диспетчера в разных пользовательских наборах, создайте отдельное приложение подготовки HR2AD. Например, подрядчики сообщают руководителям, которые являются сотрудниками. Используйте отдельное приложение для обновления только атрибута диспетчера. Задайте для этого приложения область, охватывающую всех пользователей.
• Настройте флаг пропуска удаления пользователей вне области, чтобы предотвратить случайное отключение учетных записей.

Примечание.

Если у вас нет тестового домена AD и вы используете контейнер TEST OU в AD, то эту топологию можно использовать для создания двух отдельных приложений — HR2AD (Prod) и HR2AD (Test). Используйте приложение HR2AD (Test), чтобы протестировать изменения сопоставления атрибутов, прежде чем повысить его уровень до приложения HR2AD (Prod).

Топология развертывания 3. Разделение приложений для подготовки отдельных пользовательских наборов из облачного отдела кадров в несколько доменов локальная служба Active Directory (без видимости между доменами)

Используйте топологию три для управления несколькими независимыми дочерними доменами AD, принадлежащими одному лесу. Убедитесь, что менеджеры всегда существуют в том же домене, что и пользователь. Кроме того, убедитесь, что правила создания уникальных идентификаторов для атрибутов, таких как userPrincipalName, samAccountName и почта, не требуют поиска на уровне леса. Топология три предлагает гибкость делегирования администрирования каждого задания подготовки по границам домена.

Например, на схеме приложения подготовки настраиваются для каждого географического региона: Северная Америка (NA), Европы, Ближнего Востока и Африки (EMEA) и Азиатско-Тихоокеанского региона (APAC). В зависимости от расположения пользователи подготавливаются в соответствующем домене AD. Возможно делегированное администрирование приложения подготовки, чтобы администраторы EMEA могли независимо управлять конфигурацией подготовки пользователей, принадлежащих к региону EMEA.

Ключевые аспекты конфигурации

• Настройте два узла агента подготовки для обеспечения высокой доступности и отработки отказа.
• Используйте мастер настройки агента подготовки для регистрации всех дочерних доменов AD в клиенте Microsoft Entra.
• Создайте отдельное приложение подготовки HR2AD для каждого целевого домена.
• При настройке приложения подготовки выберите соответствующий дочерний домен AD из раскрывающегося списка доступных доменов AD.
• Используйте фильтры области в приложении подготовки , чтобы определить пользователей, которые обрабатываются каждым приложением.
• Настройте флаг пропуска удаления пользователей вне области, чтобы предотвратить случайное отключение учетных записей.

Топология развертывания четыре. Разделение приложений для подготовки отдельных пользовательских наборов из облачных кадров в несколько доменов локальная служба Active Directory (с видимостью между доменами)

Используйте топологию четыре для управления несколькими независимыми дочерними доменами AD, принадлежащими к одному лесу. Менеджер пользователя может существовать в другом домене. Кроме того, правила создания уникальных идентификаторов для атрибутов, таких как userPrincipalName, samAccountName и почта, требуют поиска на уровне леса.

Например, на схеме приложения подготовки настраиваются для каждого географического региона: Северная Америка (NA), Европы, Ближнего Востока и Африки (EMEA) и Азиатско-Тихоокеанского региона (APAC). В зависимости от расположения пользователи подготавливаются в соответствующем домене AD. Ссылки на междоменные диспетчеры и подстановка на уровне леса обрабатываются путем включения отслеживания ссылок на агент подготовки.

Ключевые аспекты конфигурации

• Настройте два узла агента подготовки для обеспечения высокой доступности и отработки отказа.
• Настройте отслеживание ссылок в агенте подготовки.
• Используйте мастер настройки агента подготовки, чтобы зарегистрировать родительский домен AD и все дочерние домены AD в клиенте Microsoft Entra.
• Создайте отдельное приложение подготовки HR2AD для каждого целевого домена.
• При настройке каждого приложения подготовки выберите соответствующий родительский домен AD из раскрывающегося списка доступных доменов AD. При выборе родительского домена при создании уникальных значений для атрибутов, таких как userPrincipalName, samAccountName и mail.
• Используйте parentDistinguishedName с выражением сопоставления для динамического создания пользователя в соответствующем дочернем домене и контейнере подразделения.
• Используйте фильтры области в приложении подготовки , чтобы определить пользователей, которые обрабатываются каждым приложением.
• Для разрешения междоменных ссылок на руководителей создайте отдельное приложение подготовки HR2AD, которое будет обновлять только атрибут manager. Задайте для этого приложения область, охватывающую всех пользователей.
• Настройте флаг пропуска удаления пользователей вне области, чтобы предотвратить случайное отключение учетных записей.

Топология развертывания 5: одно приложение для подготовки всех пользователей из облачного приложения для управления персоналом в нескольких локальных доменах Active Directory (с междоменной видимостью)

Используйте эту топологию, если необходимо использовать одно приложение подготовки для управления пользователями, принадлежащими ко всем родительским и дочерним доменам AD. Эта топология рекомендуется, если правила подготовки согласованы во всех доменах и не требуется делегированное администрирование заданий подготовки. Данная топология поддерживает разрешение междоменных ссылок на руководителей и может выполнять проверку уникальности в пределах леса.

Например, на схеме одно приложение подготовки управляет пользователями в трех разных дочерних доменах, сгруппированных по регионам: Северная Америка (NA), Европа, Ближний Восток и Африка (EMEA) и Азиатско-Тихоокеанский регион (APAC). Сопоставление атрибута parentDistinguishedName используется для динамического создания пользователя в соответствующем дочернем домене. Ссылки на междоменные диспетчеры и подстановка на уровне леса обрабатываются путем включения отслеживания ссылок на агент подготовки.

Ключевые аспекты конфигурации

• Настройте два узла агента подготовки для обеспечения высокой доступности и отработки отказа.
• Настройте отслеживание ссылок в агенте подготовки.
• Используйте мастер настройки агента подготовки, чтобы зарегистрировать родительский домен AD и все дочерние домены AD в клиенте Microsoft Entra.
• Создайте одно приложение подготовки HR2AD для всего леса.
• При настройке приложения подготовки выберите соответствующий родительский домен AD из раскрывающегося списка доступных доменов AD. При выборе родительского домена при создании уникальных значений для атрибутов, таких как userPrincipalName, samAccountName и mail.
• Используйте parentDistinguishedName с выражением сопоставления для динамического создания пользователя в соответствующем дочернем домене и контейнере подразделения.
• Если вы используете фильтры области, настройте пропуск флага удаления области, чтобы предотвратить случайные деактивации учетной записи.

Топология развертывания 6: отдельные приложения для подготовки разных наборов пользователей из облачного приложения для управления персоналом в несвязанных локальных лесах Active Directory

Используйте эту топологию, если ИТ-инфраструктура содержит отключенные или несвязанные леса AD и вам необходимо подготавливать пользователей в разных лесах, в зависимости от места работы. Пример: пользователи, работающие в подразделении Contoso, должны быть подготовлены в домене contoso.com, а пользователи, работающие в дочерней компании Fabrikam, должны быть подготовлены в домене fabrikam.com.

Ключевые аспекты конфигурации

• Настройте два разных набора агентов подготовки (по одному для каждого леса) для обеспечения высокой доступности и отработки отказа.
• Создайте два разных приложения подготовки, по одному для каждого леса.
• Если необходимо разрешать междоменные ссылки в пределах леса, включите отслеживание ссылок в агенте подготовки.
• Создайте отдельное приложение подготовки HR2AD для каждого несвязанного леса.
• При настройке каждого приложения подготовки выберите соответствующий родительский домен AD из раскрывающегося списка доступных доменных имен AD.
• Настройте флаг пропуска удаления пользователей вне области, чтобы предотвратить случайное отключение учетных записей.

Топология развертывания 7: отдельные приложения для подготовки разных наборов пользователей из нескольких облачных приложений для управления персоналом в несвязанных локальных лесах Active Directory

В крупных организациях не редкость для нескольких систем управления персоналом. Во время слияния и поглощения организаций может возникнуть необходимость подключить локальную службу Active Directory к нескольким исходным системам управления персоналом. Рекомендуется использовать топологию, если у вас есть несколько источников кадров и требуется каналировать данные удостоверений из этих источников кадров в одни и те же или разные домены локальная служба Active Directory.

Ключевые аспекты конфигурации

• Настройте два разных набора агентов подготовки (по одному для каждого леса) для обеспечения высокой доступности и отработки отказа.
• Если необходимо разрешать междоменные ссылки в пределах леса, включите отслеживание ссылок в агенте подготовки.
• Создайте отдельное приложение подготовки HR2AD для каждого сочетания системы управления персоналом и локальной службы Active Directory.
• При настройке каждого приложения подготовки выберите соответствующий родительский домен AD из раскрывающегося списка доступных доменных имен AD.
• Настройте флаг пропуска удаления пользователей вне области, чтобы предотвратить случайное отключение учетных записей.

Планирование фильтров области и сопоставления атрибутов

При включении подготовки из облачного приложения hr в Active Directory или Идентификатор Microsoft Entra центр администрирования Microsoft Entra управляет значениями атрибутов с помощью сопоставления атрибутов.

Определение фильтров области

Используйте фильтры области для определения правил на основе атрибутов, определяющих, какие пользователи должны быть подготовлены из облачного приложения hr в Active Directory или Идентификатор Microsoft Entra.

Чтобы использовать процесс "наем", проверьте следующее:

• Для каких сотрудников используется ли облачное приложение — только штатных или еще и внештатных?
• Планируется ли использовать облачное приложение отдела кадров для подготовки пользователей Microsoft Entra для управления как сотрудниками, так и сотрудниками-контингентами?
• Планируете ли вы развернуть облачное приложение HR в microsoft Entra для подготовки пользователей только для подмножества пользователей облачного приложения отдела кадров? Например, можно подготавливать только штатных сотрудников.

В зависимости от вашей ситуации можно задать при настройке сопоставлений атрибутов поле Source Object Scope, чтобы выбрать, какие наборы пользователей облачного приложения должна охватывать подготовка для Active Directory. Дополнительные сведения о часто используемых фильтрах области см. в руководстве по облачному приложению.

Определение сопоставляемых атрибутов

Подготовка позволяет сопоставлять существующие учетные записи в исходной и целевой системах. Интеграция облачного приложения HR с службой подготовки Microsoft Entra позволяет настроить сопоставление атрибутов, чтобы определить, какие пользовательские данные должны передаваться из облачного приложения HR в Active Directory или Идентификатор Microsoft Entra.

Чтобы использовать процесс "наем", проверьте следующее:

• Какой уникальный идентификатор используется для пользователей облачного приложения?
• Как обрабатываются данные о повторно нанятых сотрудниках с точки зрения жизненного цикла удостоверений? Сохраняются ли у повторно нанятых сотрудников старые идентификаторы?
• Для сотрудников, дата принятия которых на работу еще не наступила, заранее создаются учетные записи Active Directory?
• Как обрабатываются данные о штатных работниках, переходящих на внештатное сотрудничество (и наоборот), с точки зрения жизненного цикла удостоверений?
• Сохраняется ли у пользователя старая учетная запись Active Directory после перехода на новую форму сотрудничества?

В зависимости от требований идентификатор Microsoft Entra поддерживает прямое сопоставление атрибутов к атрибутам, предоставляя константные значения или записывая выражения для сопоставлений атрибутов. Такая гибкость позволяет получить максимальный контроль над значениями, которые принимают атрибуты в целевом приложении. Вы можете использовать API Microsoft Graph и обозреватель Graph для экспорта сопоставлений атрибутов подготовки пользователей и схемы в JSON-файл и импортировать его обратно в идентификатор Microsoft Entra.

По умолчанию атрибут в облачном приложении hr, представляющего уникальный идентификатор сотрудника, используется в качестве соответствующего атрибута, сопоставленного с уникальным атрибутом в Active Directory. Например, в сценарии приложения Workday атрибут Workday WorkerID сопоставляется с атрибутом Active Directory employeeID .

Можно задать несколько сопоставляемых атрибутов и назначить приоритет сопоставления. Атрибуты оцениваются в порядке приоритетности. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются.

Можно также настроить сопоставления атрибутов по умолчанию, такие как изменение или удаление существующих сопоставлений атрибутов. Кроме того, вы можете настроить сопоставление любых нужных вашей компании атрибутов. Список настраиваемых атрибутов, которые можно сопоставлять, см. в руководстве по вашему облачному приложению (например, Workday).

Определение состояния учетных записей пользователей

По умолчанию приложение соединителя подготовки сопоставляет состояние профиля пользователя отдела кадров с состоянием учетной записи пользователя. Состояние используется для определения того, следует ли включить или отключить учетную запись пользователя.

Чтобы использовать процесс "наем, увольнение", проверьте следующее:

Обработка	Требования
Наем	Как обрабатываются данные о повторно нанятых сотрудниках с точки зрения жизненного цикла удостоверений? Сохраняются ли у повторно нанятых сотрудников старые идентификаторы?
	Для сотрудников, дата принятия которых на работу еще не наступила, заранее создаются учетные записи Active Directory? Учетные записи включаются сразу или изначально отключены?
	Как обрабатываются данные о штатных работниках, переходящих на внештатное сотрудничество (и наоборот), с точки зрения жизненного цикла удостоверений?
	Сохраняется ли у пользователя старая учетная запись Active Directory после перехода на новую форму сотрудничества?
Увольнение	Как в Active Directory обрабатывается информация об увольнении для штатных и внештатных сотрудников — одинаково или по-разному?
	Какие эффективные даты учитываются при обработке информации об увольнении пользователя?
	Как переход работника на новую форму сотрудничества влияет на существующую учетную запись Active Directory?
	Как в Active Directory обрабатывается операция отмены? Операции отмены необходимо обрабатывать, если в Active Directory создаются записи о найме сотрудников, дата принятия которых на работу еще не наступила.

В зависимости от требований можно настроить логику сопоставления с помощью выражений Microsoft Entra, чтобы учетная запись Active Directory была включена или отключена на основе сочетания точек данных.

Сопоставление данных облачного приложения с пользовательскими атрибутами Active Directory

В каждом облачном приложении для управления персоналом есть стандартные сопоставления для Active Directory.

Чтобы использовать процесс "наем, перевод, увольнение", проверьте следующее:

Обработка	Требования
Наем	Как создаются учетные записи Active Directory — вручную, автоматически или частично автоматически?
	Вы планируете передавать настраиваемые атрибуты из облачного приложения в Active Directory?
Перевод	Какие атрибуты из облачного приложения вы хотите обрабатывать при переводе сотрудника?
	Проверяются при обновлении пользователей какие-либо конкретные атрибуты? Если да, укажите детали.
Увольнение	Как в Active Directory обрабатывается информация об увольнении для штатных и внештатных сотрудников — одинаково или по-разному?
	Какие эффективные даты учитываются при обработке информации об увольнении пользователя?
	Как переход работника на новую форму сотрудничества влияет на существующую учетную запись Active Directory?

В вы можете изменить сопоставления согласно вашим целям интеграции. Список настраиваемых атрибутов, которые можно сопоставлять, см. в руководстве по вашему облачному приложению (например, Workday).

Создание уникальных значений атрибутов

Атрибуты, такие как CN, samAccountName и имя участника-пользователя, имеют уникальные ограничения. При запуске процесса соединения может потребоваться создать уникальные значения атрибутов.

Функция Идентификатора Microsoft Entra SelectUniqueValues вычисляет каждое правило, а затем проверяет значение, созданное для уникальности в целевой системе. Пример см. в разделе Создание уникального значения для атрибута userPrincipalName (UPN).

Примечание.

Эта функция в настоящее время поддерживается только для Workday в Active Directory, SAP SuccessFactors для подготовки пользователей Active Directory и подготовки на основе API для локальная служба Active Directory. Он не поддерживается для использования с другими приложениями подготовки.

Настройка назначения контейнера подразделения Active Directory

Распространенным требованием является размещение учетных записей пользователей Active Directory в контейнерах на основе бизнес-подразделений, филиалов и отделов. При инициации процесса "перевод" и при изменении ответственной организации может потребоваться переместить пользователя в другое подразделение в Active Directory.

Используйте для настройки бизнес-логики назначения подразделения функцию Switch(). Сопоставьте ее с атрибутом Active Directory parentDistinguishedName.

Например, если вы хотите добавлять пользователей в подразделения на основе атрибута Municipality в облачном приложении, можно использовать следующее выражение:

Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")

Если значение муниципалитета — Даллас, Остин, Сиэтл или Лондон, то учетная запись пользователя создается в соответствующем подразделении. Если совпадений нет, учетная запись создается в подразделении по умолчанию.

Планирование доставки паролей для новых учетных записей пользователей

При запуске процесса "наем" необходимо задавать и доставлять временные пароли для новых учетных записей пользователей. С помощью облачной подготовки кадров для пользователей Microsoft Entra вы можете развернуть возможность самостоятельного сброса пароля (SSPR) для пользователя в один день.

С помощью SSPR ИТ-администраторы могут предоставить пользователям возможность самостоятельно сбрасывать и разблокировать пароли и учетные записи. Вы можете подготовить атрибут мобильного номера из облачного приложения HR в Active Directory и синхронизировать его с идентификатором Microsoft Entra. После того как атрибут мобильного номера находится в идентификаторе Microsoft Entra, вы можете включить SSPR для учетной записи пользователя. Тогда новый пользователь сможет использовать зарегистрированный и проверенный номер мобильного телефона для проверки подлинности в первый день. Дополнительные сведения о том, как предварительно заполнить контактные данные проверки подлинности, см. в документации по SSPR.

Планирование начального цикла

Когда служба подготовки Microsoft Entra запускается в первый раз, она выполняет начальный цикл в облачном приложении hr для создания моментального снимка всех объектов пользователей в облачном приложении hr. Время, затрачиваемое на начальные циклы, непосредственно зависит от количества пользователей, имеющихся в исходной системе. Начальный цикл для некоторых клиентов облачных приложений с более чем 100 000 пользователями может занять много времени.

Для больших арендаторов облачных приложений (> 30 000 пользователей) запускайте начальный цикл поэтапно. Запускайте добавочные обновления только после проверки того, что в Active Directory заданы правильные атрибуты для различных сценариев подготовки пользователей. Порядок действий описан ниже.

1. Запустите начальный цикл только для ограниченного набора пользователей, задав фильтр области.
2. Проверьте подготовку учетных записей Active Directory и значения атрибутов для пользователей, выбранных для первого запуска. Если результат соответствует ожиданиям, расширьте фильтр области, чтобы добавить больше пользователей и проверить результаты второго запуска.

Если вы удовлетворены результатами начального цикла для тестовых пользователей, запустите добавочные обновления.

Планирование тестирования и безопасности

Развертывание состоит из этапов, начиная от первоначального пилотного проекта до включения подготовки пользователей. На каждом этапе убедитесь, что вы тестируете ожидаемые результаты. Кроме того, проверьте циклы подготовки.

Планирование тестирования

После настройки облачного приложения hr app на подготовку пользователей Microsoft Entra запустите тестовые случаи, чтобы проверить, соответствует ли это решение требованиям вашей организации.

Сценарии	Ожидаемые результаты
Нового сотрудника принимают на работу в облачном приложении для управления персоналом.	— учетная запись пользователя подготовлена в Active Directory. — Пользователь может войти в доменные приложения Active Directory и выполнить необходимые действия. — Если настроена синхронизация Microsoft Entra Connect, учетная запись пользователя также создается в идентификаторе Microsoft Entra.
Пользователя увольняют в облачном приложении.	— Учетная запись пользователя отключена в Active Directory. — Пользователь не может войти в корпоративные приложения, защищенные Active Directory.
В облачном приложении меняется организация, ответственная за пользователя.	На основе сопоставления атрибутов учетная запись пользователя перемещается в другое подразделение Active Directory.
В облачном приложении меняются сведения о руководителе пользователя.	Поле руководителя в Active Directory обновляется в соответствии с именем нового руководителя.
Сотрудника переводят на новую роль.	Поведение зависит от того, как облачное приложение HR настроено для создания идентификаторов сотрудников. Если старый идентификатор сотрудника используется для повторного подбора сотрудника, соединитель включает существующую учетную запись Active Directory для пользователя. Если сотрудник повторно возвращает новый идентификатор сотрудника, соединитель создает новую учетную запись Active Directory для пользователя.
Штатный сотрудник становится внештатным или наоборот.	Для нового пользователя создается новая учетная запись Active Directory, а старая учетная запись отключается с официальной даты смены формы сотрудничества.

Используйте предыдущие результаты, чтобы определить, как перенести автоматическую реализацию подготовки пользователей в рабочую среду на основе установленных временных шкал.

Совет

Когда вы добавляете в тестовую среду рабочие данные, используйте сокращение и очистку данных, чтобы удалять или маскировать конфиденциальные персональные данные в соответствии со стандартами конфиденциальности и безопасности.

Планирование безопасности

Как правило, при развертывании новой службы требуется проверка безопасности. Если проверка безопасности требуется или не была проведена, ознакомьтесь со многими белыми документами по идентификатору Microsoft Entra, которые предоставляют обзор удостоверения как услуги.

Планирование отката

Может оказаться, что в рабочей среде решение функционирует неправильно. В таком случае откатите его к работоспособному состоянию, как описано ниже.

1. Ознакомьтесь со сводным отчетом по подготовке, чтобы определить, какие неправильные операции выполнялись с затронутыми пользователями или группами. Дополнительные сведения о сводном отчете по подготовке и журналах см. в статье Управление подготовкой пользователей из облачных приложений для управления персоналом.
2. Последнее известное хорошее состояние затронутых пользователей или групп можно определить с помощью журналов подготовки или проверки целевых систем (Идентификатор Microsoft Entra или Active Directory).
3. Обратитесь к владельцу приложения, чтобы он перенес в данные затронутых пользователей или групп значения последнего работоспособного состояния.

Развертывание облачного приложения для управления персоналом

Выберите облачное приложение, которое соответствует требованиям вашего решения.

Workday: импорт профилей рабочих ролей из Workday в Active Directory и Идентификатор Microsoft Entra см. в руководстве по настройке Workday для автоматической подготовки пользователей. При необходимости в Workday доступна обратная запись адресов электронной почты, имен пользователя и номеров телефонов.

SAP SuccessFactors: импорт профилей рабочих ролей из SuccessFactors в Active Directory и Идентификатор Microsoft Entra см. в руководстве по настройке SAP SuccessFactors для автоматической подготовки пользователей. При необходимости можно записать адрес электронной почты и имя пользователя в SuccessFactors.

Управление конфигурацией

Идентификатор Microsoft Entra может предоставить дополнительные сведения об использовании и работоспособности пользователей вашей организации с помощью журналов подготовки и отчетов.

Получение ценных сведений из отчетов и журналов

После успешного начального цикла служба подготовки Microsoft Entra продолжает выполнять добавочные обновления на неопределенный срок с интервалами, определенными в руководствах, относящихся к каждому приложению, до тех пор, пока не произойдет одно из следующих событий:

• Служба остановлена вручную. Новый начальный цикл активируется с помощью Центра администрирования Microsoft Entra или соответствующей команды API Microsoft Graph.
• Из-за изменений сопоставлений атрибутов или фильтров области запускается новый начальный цикл.
• Процесс подготовки помещается в карантин из-за большого количества ошибок. Он остается в карантине более четырех недель, после чего он автоматически отключается.

Чтобы просмотреть эти события и все другие действия, выполняемые службой подготовки, Узнайте, как просматривать журналы и получать отчеты о действиях по подготовке.

Журналы Azure Monitor

Все действия, выполняемые службой подготовки, записываются в журналы подготовки Microsoft Entra. Журналы подготовки Microsoft Entra можно направлять в рабочую область Log Analytics, которая отправляет данные в журналы Azure Monitor и книги Microsoft Entra, где можно запрашивать данные для поиска событий, анализа тенденций и корреляции между различными источниками данных. Просмотрите это видео , чтобы узнать о преимуществах использования журналов Azure Monitor для журналов Microsoft Entra в практических сценариях пользователя.

Чтобы включить log Analytics и книги Microsoft Entra, необходимо настроить рабочую область Log Analytics. Затем перенаправьте данные в соответствующую конечную точку, настроив параметры диагностики. Дополнительные сведения см. в разделе:

• Настройка рабочей области Log Analytics
• Интеграция журналов действий Microsoft Entra с журналами Azure Monitor
• Использование книг Microsoft Entra
• Книга "Подготовка аналитики"

Управление персональными данными

Агент подготовки Microsoft Entra Connect, установленный на сервере Windows, создает журналы в журнале событий Windows, которые могут содержать персональные данные в зависимости от сопоставлений атрибутов облачного hr-приложения с Active Directory. Чтобы обеспечить соблюдение требований к конфиденциальности пользователей, настройте запланированную задачу Windows на очистку журнала событий и убедитесь, что данные не хранятся дольше 48 часов.

Служба подготовки Microsoft Entra не создает отчеты, выполняет аналитику или предоставляет аналитические сведения за 30 дней, так как служба не хранит, не обрабатывает или хранит данные за пределами 30 дней.

Управление рабочими процессами жизненного цикла Joiner-Mover-Leaver

Вы можете расширить процесс подготовки на основе кадров для дальнейшего автоматизации бизнес-процессов и элементов управления безопасностью, связанных с новыми сотрудниками, изменениями занятости и прекращением работы. С помощью рабочих процессов жизненного цикла Управление идентификацией Microsoft Entra можно настроить рабочие процессы Joiner-Mover-Leaver, такие как:

• "X" за несколько дней до новых присоединений к нанимаю, отправьте сообщение электронной почты руководителю, добавьте пользователя в группы и создайте временный проход доступа для первого входа.
• Когда в отделе пользователя или названии задания или членстве в группах изменится, запустите пользовательскую задачу.
• В последний день работы отправьте сообщение электронной почты руководителю и удалите пользователя из групп и назначений лицензий.
• "X" через несколько дней после завершения удаления пользователя из идентификатора Microsoft Entra.

Устранение неполадок

Сведения об устранении неполадок, которые могут возникать во время подготовки, см. в следующих статьях:

• Проблема с настройкой подготовки пользователей в приложении коллекции Microsoft Entra
• Синхронизация атрибута из локальная служба Active Directory с идентификатором Microsoft Entra для подготовки к приложению
• Проблема с сохранением учетных данных администратора при настройке подготовки пользователей в приложение коллекции Microsoft Entra
• Никакие пользователи не подготавливаются к приложению коллекции Microsoft Entra
• Неправильный набор пользователей подготавливается к приложению коллекции Microsoft Entra
• Настройка средства просмотра событий Windows для устранения неполадок агента
• Настройка журналов подготовки Центра администрирования Microsoft Entra для устранения неполадок со службами
• Общие сведения о журналах операций создания учетных записей пользователей AD
• Общие сведения о журналах операций обновления руководителя
• Устранение распространенных ошибок

Следующие шаги

• Запись выражений для сопоставления атрибутов
• Общие сведения об API синхронизации Microsoft Entra
• Пропуск удаления учетных записей пользователей, вышедших за пределы области
• Агент подготовки Microsoft Entra Connect: журнал выпусков версий