Подготовка учетных записей пользователей к рабочим процессам жизненного цикла

Для работы с руководствами по подключению и отключению требуются учетные записи, для которых выполняются рабочие процессы. Этот раздел поможет вам подготовить эти учетные записи. Если у вас уже есть тестовые учетные записи, соответствующие следующим требованиям, можно перейти непосредственно к руководствам по подключению и отключению. Для выполнения инструкций в руководстве по подключению требуются две учетные записи: нанимаемого сотрудника и руководителя. Учетная запись нанимаемого сотрудника должна иметь следующие атрибуты:

• Для employeeHireDate нужно задать сегодняшнюю дату.
• для атрибута department должен быть установлен отдел продаж (sales);
• должен быть задан атрибут manager, а у учетной записи руководителя должен быть почтовый ящик для получения электронной почты.

Для выполнения инструкций в руководстве по отключению требуется только одна учетная запись с членством в группе и Teams, однако она будет удалена во время работы с руководством.

Предварительные требования

Для использования этой функции требуется Управление идентификацией Microsoft Entra лицензий. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.

• Клиент Microsoft Entra
• Учетная запись глобального администратора для клиента Microsoft Entra. Эта учетная запись используется для создания пользователей и рабочих процессов.

Подготовка к работе

В большинстве случаев пользователи будут подготовлены для Microsoft Entra идентификатора либо из локального решения (например, Microsoft Entra Connect или облачной синхронизации), либо с помощью решения отдела кадров. Эти пользователи имеют атрибуты и значения, заполненные во время создания. Настройка инфраструктуры для подготовки пользователей выходит за рамки этого руководства. Дополнительные сведения см. в разделах Руководство. Базовая среда Active Directory и Руководство по интеграции одного леса с одним клиентом Microsoft Entra.

Создание пользователей с идентификатором Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться в зависимости от того, с чего начинается портал.

Мы используем Обозреватель Graph для быстрого создания двух пользователей, необходимых для выполнения рабочих процессов жизненного цикла в руководствах. Один пользователь представляет нового сотрудника, а второй — руководителя нового сотрудника.

Вам нужно изменить post и заменить <имя клиента на> имя клиента. Например: $UPN_manager = "bsimon@<имя арендатора>" на $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Примечание

Учтите, что рабочий процесс не будет запускаться, если дата найма сотрудника (число дней с момента события) раньше даты создания рабочего процесса. Для атрибута employeeHiredate должно быть предусмотрено значение в будущем на этапе проектирования. Даты, используемые в этом руководстве, соответствуют моментальному снимку во времени. Таким образом, нужно изменить эти даты соответствующим образом.

Сначала мы создадим нашего сотрудника, Мелву Принса.

1. Перейдите в песочницу Graph.
2. Войдите в песочницу Graph с учетной записью глобального администратора для своего арендатора.
3. Вверху измените GET на POST и добавьте https://graph.microsoft.com/v1.0/users/ в поле.
4. Скопируйте следующий код в текст запроса.
5. Замените <your tenant here> в следующем коде значением клиента Microsoft Entra.
6. Выберите Выполнить запрос.
7. Скопируйте идентификатор, который будет возвращен в результатах. Он используется позже для назначения руководителя.

{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "xWwvJ]6NMw+bWH-d"
  }
}

Далее мы создадим пользователя Britta Simon. Это учетная запись, которая используется в качестве менеджера.

1. Оставайтесь в песочнице Graph.
2. Убедитесь, что вверху по-прежнему выбрано POST, а в поле указано значение https://graph.microsoft.com/v1.0/users/.
3. Скопируйте следующий код в текст запроса.
4. Замените <your tenant here> в следующем коде значением клиента Microsoft Entra.
5. Выберите Выполнить запрос.
6. Скопируйте идентификатор, который будет возвращен в результатах. Он используется позже для назначения руководителя.

   {
     "accountEnabled": true,
     "displayName": "Britta Simon",
     "mailNickname": "bsimon",
     "department": "sales",
     "mail": "bsimon@<your tenant name here>",
     "employeeHireDate": "2021-01-15T22:10:00Z",
     "userPrincipalName": "bsimon@<your tenant name here>",
     "passwordProfile" : {
       "forceChangePasswordNextSignIn": true,
       "password": "xWwvJ]6NMw+bWH-d"
     }
   }
   

Примечание

В этом разделе кода необходимо изменить <имя> клиента в соответствии с вашим Microsoft Entra клиентом.

Быстро создать двух пользователей, необходимых для выполнения рабочего процесса жизненного цикла, также можно с помощью следующего скрипта PowerShell. Один пользователь представляет нового сотрудника, а второй — руководителя нового сотрудника.

Важно!

Следующий скрипт PowerShell позволяет быстро создать двух пользователей, необходимых для работы с этим руководством. Эти пользователи также можно создать в центре Microsoft Entra Администратор.

Чтобы создать этот шаг, сохраните следующий сценарий PowerShell в расположении на компьютере с доступом к Azure.

Затем измените скрипте фрагмент <имя арендатора> на имя своего арендатора. Например: $UPN_manager = "bsimon@<имя арендатора>" на $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Это действие необходимо выполнить как для $UPN_employee, так и для $UPN_manager.

После редактирования скрипта сохраните его и выполните следующие действия.

1. Откройте командную строку Windows PowerShell с правами администратора с компьютера, имеющего доступ к центру администрирования Microsoft Entra.
2. Перейдите в папку, где сохранен скрипт PowerShell, и запустите его.
3. При появлении запроса выберите Да для всех при установке модуля Azure AD PowerShell.
4. При появлении запроса войдите в Центр администрирования Microsoft Entra с помощью глобального администратора для своего клиента.

#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-MgGraph -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

После успешного создания пользователей с идентификатором Microsoft Entra вы можете перейти к руководству по рабочим процессам жизненного цикла для создания рабочего процесса.

Дополнительные действия для сценария перед наймом

Существует ряд дополнительных действий, которые следует учитывать при тестировании либо подключения пользователей к организации с помощью рабочих процессов жизненного цикла с помощью Microsoft Entra Администратор Center, либо руководства по подключению пользователей к организации с помощью рабочих процессов жизненного цикла с помощью Microsoft Graph.

Изменение атрибутов пользователей с помощью Центра администрирования Microsoft Entra

Некоторые атрибуты, необходимые для руководства по подключению для предварительного найма, предоставляются в центре администрирования Microsoft Entra и могут быть заданы там.

Они перечислены ниже.

Атрибут	Описание	Установлено
mail	Используется для уведомления руководителя о временном секретном коде для новых сотрудников.	Manager
manager	Это атрибут, используемый рабочим процессом жизненного цикла	Сотрудник

В этом руководстве атрибут почты mail требуется задать только в учетной записи руководителя, а атрибут руководителя manager — только в учетной записи сотрудника. Выполните указанные ниже действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум от имени администратора пользователей.
2. Перейдите к >удостоверению>Пользователи>Все пользователи.
3. Выберите Melva Prince.
4. В верхней части нажмите кнопку Изменить.
5. В разделе руководителя нажмите Изменить и выберите Britta Simon.
6. В верхней части выберите Сохранить.
7. Вернитесь к пользователям и выберите Britta Simon.
8. В верхней части нажмите кнопку Изменить.
9. В разделе Электронная почта введите действительный адрес электронной почты.
10. Щелкните Сохранить.

Изменение атрибута employeeHireDate

Атрибут employeeHireDate является новым для Microsoft Entra идентификатора. Он недоступен в пользовательском интерфейсе и задается с помощью Graph. Для редактирования этого атрибута можно использовать песочницу Graph.

Примечание

Учтите, что рабочий процесс не будет запускаться, если дата найма сотрудника (число дней с момента события) раньше даты создания рабочего процесса. Для атрибута employeeHiredate должно быть предусмотрено значение в будущем на этапе проектирования. Даты, используемые в этом руководстве, соответствуют моментальному снимку во времени. Таким образом, нужно изменить эти даты соответствующим образом.

Для этого необходимо получить идентификатор объекта для нашего пользователя Melva Prince.

1. Войдите в Центр администрирования Microsoft Entra как минимум от имени администратора пользователей.

2. Перейдите к >удостоверению>Пользователи>Все пользователи.

3. Выберите Melva Prince.

4. Выберите знак копирования рядом с полем Идентификатор объекта.

5. Перейдите в песочницу Graph.

6. Войдите в песочницу Graph с учетной записью глобального администратора для своего арендатора.

7. Вверху измените GET на PATCH и добавьте https://graph.microsoft.com/v1.0/users/<id> в поле. Замените <id> значением, скопированным ранее.

8. Скопируйте следующий код в поле Текст запроса и выберите Выполнить запрос.

   {
   "employeeHireDate": "2022-04-15T22:10:00Z"
   }
   

   

9. Проверьте изменение: снова замените PATCH на GET, а 1.0 — на beta. Выберите Выполнить запрос. Вы увидите набор атрибутов Melva.
   

Изменение атрибута руководителя в учетной записи сотрудника

Атрибут руководителя используется задачами уведомления по электронной почте. С его помощью рабочий процесс жизненного цикла отправляет руководителю временный пароль для нового сотрудника. Выполните следующие действия, чтобы убедиться, что у пользователей Microsoft Entra есть значение атрибута manager.

1. Оставайтесь в песочнице Graph.

2. Убедитесь, что вверху по-прежнему выбрано PUT, а в поле указано значение https://graph.microsoft.com/v1.0/users/<id>/manager/$ref. Замените <id> идентификатором пользователя Melva Prince.

3. Скопируйте приведенный ниже код в текст запроса

4. Замените <managerid> в следующем коде значением идентификатора Britta Simons.

5. Выберите Выполнить запрос.

   {
     "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
   }
   

   

6. Теперь мы можем проверить правильность настроек руководителя, заменив PUT на GET.

7. В поле должно быть указано значение https://graph.microsoft.com/v1.0/users/<id>/manager/. Для параметра <id> по-прежнему должно быть задано значение пользователя Melva Prince.

8. Выберите Выполнить запрос. В ответе должен отобразиться пользователь Britta Simon.

   

Дополнительные сведения об обновлении данных руководителя для пользователя с помощью API Graph см. в документации по назначению руководителя. Этот атрибут также можно задать в Центре администрирования Azure. Дополнительные сведения см. в разделе о добавлении и изменении данных профиля.

Включение временного секретного кода (TAP)

Временный секретный код выдается администратором, имеет ограниченный срок действия и удовлетворяет требованиям к строгой проверке подлинности.

В этом сценарии мы используем функцию идентификатора Microsoft Entra для создания временного прохода доступа для нового сотрудника. Затем он будет отправлен руководителю сотрудника.

Чтобы использовать эту функцию, ее необходимо включить в клиенте Microsoft Entra. Для этого выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум глобальный администратор.
2. Перейдите кстатье Методы> проверки подлинности защиты>Временный проход доступа
3. Выберите Да, чтобы включить политику, добавьте пользователя Britta Simon, выберите пользователей, к которым политика будет применена, и настройте все общие параметры.

Дополнительные действия для сценария увольнения из организации

Существуют некоторые дополнительные действия, которые следует учитывать при тестировании руководства по отключению пользователей из организации с помощью рабочих процессов жизненного цикла с помощью центра администрирования Microsoft Entra или руководства По отключению пользователей из вашей организации с помощью рабочих процессов жизненного цикла с Microsoft Graph.

Настройка членства пользователей в группах и Teams

Для работы с руководствами по сценарию увольнения из организации требуется пользователь с членством в группах и Teams.

Дальнейшие действия

• Подключение пользователей к организации с помощью рабочих процессов жизненного цикла в Центре администрирования Microsoft Entra
• Подключение пользователей к организации с помощью рабочих процессов жизненного цикла в Microsoft Graph
• Руководство. Отключение пользователей из организации с помощью рабочих процессов жизненного цикла с помощью Центра Microsoft Entra Администратор
• Руководство. Отключение пользователей из вашей организации с помощью рабочих процессов жизненного цикла с Microsoft Graph