Подготовка учетных записей пользователей к рабочим процессам жизненного цикла
Для работы с руководствами по подключению и отключению требуются учетные записи, для которых выполняются рабочие процессы. Этот раздел поможет вам подготовить эти учетные записи. Если у вас уже есть тестовые учетные записи, соответствующие следующим требованиям, можно перейти непосредственно к руководствам по подключению и отключению. Для выполнения инструкций в руководстве по подключению требуются две учетные записи: нанимаемого сотрудника и руководителя. Учетная запись нанимаемого сотрудника должна иметь следующие атрибуты:
- Для employeeHireDate нужно задать сегодняшнюю дату.
- для атрибута department должен быть установлен отдел продаж (sales);
- должен быть задан атрибут manager, а у учетной записи руководителя должен быть почтовый ящик для получения электронной почты.
Для выполнения инструкций в руководстве по отключению требуется только одна учетная запись с членством в группе и Teams, однако она будет удалена во время работы с руководством.
Предварительные требования
Для использования этой функции требуется Управление идентификацией Microsoft Entra лицензий. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.
- Клиент Microsoft Entra
- Учетная запись глобального администратора для клиента Microsoft Entra. Эта учетная запись используется для создания пользователей и рабочих процессов.
Подготовка к работе
В большинстве случаев пользователи будут подготовлены для Microsoft Entra идентификатора либо из локального решения (например, Microsoft Entra Connect или облачной синхронизации), либо с помощью решения отдела кадров. Эти пользователи имеют атрибуты и значения, заполненные во время создания. Настройка инфраструктуры для подготовки пользователей выходит за рамки этого руководства. Дополнительные сведения см. в разделах Руководство. Базовая среда Active Directory и Руководство по интеграции одного леса с одним клиентом Microsoft Entra.
Создание пользователей с идентификатором Microsoft Entra
Совет
Действия, описанные в этой статье, могут немного отличаться в зависимости от того, с чего начинается портал.
Мы используем Обозреватель Graph для быстрого создания двух пользователей, необходимых для выполнения рабочих процессов жизненного цикла в руководствах. Один пользователь представляет нового сотрудника, а второй — руководителя нового сотрудника.
Вам нужно изменить post и заменить <имя клиента на> имя клиента. Например: $UPN_manager = "bsimon@<имя арендатора>" на $UPN_manager = "bsimon@contoso.onmicrosoft.com".
Примечание
Учтите, что рабочий процесс не будет запускаться, если дата найма сотрудника (число дней с момента события) раньше даты создания рабочего процесса. Для атрибута employeeHiredate должно быть предусмотрено значение в будущем на этапе проектирования. Даты, используемые в этом руководстве, соответствуют моментальному снимку во времени. Таким образом, нужно изменить эти даты соответствующим образом.
Сначала мы создадим нашего сотрудника, Мелву Принса.
- Перейдите в песочницу Graph.
- Войдите в песочницу Graph с учетной записью глобального администратора для своего арендатора.
- Вверху измените GET на POST и добавьте
https://graph.microsoft.com/v1.0/users/
в поле. - Скопируйте следующий код в текст запроса.
- Замените
<your tenant here>
в следующем коде значением клиента Microsoft Entra. - Выберите Выполнить запрос.
- Скопируйте идентификатор, который будет возвращен в результатах. Он используется позже для назначения руководителя.
{
"accountEnabled": true,
"displayName": "Melva Prince",
"mailNickname": "mprince",
"department": "sales",
"mail": "mprince@<your tenant name here>",
"employeeHireDate": "2022-04-15T22:10:00Z",
"userPrincipalName": "mprince@<your tenant name here>",
"passwordProfile" : {
"forceChangePasswordNextSignIn": true,
"password": "xWwvJ]6NMw+bWH-d"
}
}
Далее мы создадим пользователя Britta Simon. Это учетная запись, которая используется в качестве менеджера.
- Оставайтесь в песочнице Graph.
- Убедитесь, что вверху по-прежнему выбрано POST, а в поле указано значение
https://graph.microsoft.com/v1.0/users/
. - Скопируйте следующий код в текст запроса.
- Замените
<your tenant here>
в следующем коде значением клиента Microsoft Entra. - Выберите Выполнить запрос.
- Скопируйте идентификатор, который будет возвращен в результатах. Он используется позже для назначения руководителя.
{ "accountEnabled": true, "displayName": "Britta Simon", "mailNickname": "bsimon", "department": "sales", "mail": "bsimon@<your tenant name here>", "employeeHireDate": "2021-01-15T22:10:00Z", "userPrincipalName": "bsimon@<your tenant name here>", "passwordProfile" : { "forceChangePasswordNextSignIn": true, "password": "xWwvJ]6NMw+bWH-d" } }
Примечание
В этом разделе кода необходимо изменить <имя> клиента в соответствии с вашим Microsoft Entra клиентом.
Быстро создать двух пользователей, необходимых для выполнения рабочего процесса жизненного цикла, также можно с помощью следующего скрипта PowerShell. Один пользователь представляет нового сотрудника, а второй — руководителя нового сотрудника.
Важно!
Следующий скрипт PowerShell позволяет быстро создать двух пользователей, необходимых для работы с этим руководством. Эти пользователи также можно создать в центре Microsoft Entra Администратор.
Чтобы создать этот шаг, сохраните следующий сценарий PowerShell в расположении на компьютере с доступом к Azure.
Затем измените скрипте фрагмент <имя арендатора> на имя своего арендатора. Например: $UPN_manager = "bsimon@<имя арендатора>" на $UPN_manager = "bsimon@contoso.onmicrosoft.com".
Это действие необходимо выполнить как для $UPN_employee, так и для $UPN_manager.
После редактирования скрипта сохраните его и выполните следующие действия.
- Откройте командную строку Windows PowerShell с правами администратора с компьютера, имеющего доступ к центру администрирования Microsoft Entra.
- Перейдите в папку, где сохранен скрипт PowerShell, и запустите его.
- При появлении запроса выберите Да для всех при установке модуля Azure AD PowerShell.
- При появлении запроса войдите в Центр администрирования Microsoft Entra с помощью глобального администратора для своего клиента.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This
# script is made available to you without any express, implied or
# statutory warranty, not even the implied warranty of
# merchantability or fitness for a particular purpose, or the
# warranty of title or non-infringement. The entire risk of the
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"
Install-Module -Name AzureAD
Connect-MgGraph -Confirm
$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department
После успешного создания пользователей с идентификатором Microsoft Entra вы можете перейти к руководству по рабочим процессам жизненного цикла для создания рабочего процесса.
Дополнительные действия для сценария перед наймом
Существует ряд дополнительных действий, которые следует учитывать при тестировании либо подключения пользователей к организации с помощью рабочих процессов жизненного цикла с помощью Microsoft Entra Администратор Center, либо руководства по подключению пользователей к организации с помощью рабочих процессов жизненного цикла с помощью Microsoft Graph.
Изменение атрибутов пользователей с помощью Центра администрирования Microsoft Entra
Некоторые атрибуты, необходимые для руководства по подключению для предварительного найма, предоставляются в центре администрирования Microsoft Entra и могут быть заданы там.
Они перечислены ниже.
Атрибут | Описание | Установлено |
---|---|---|
Используется для уведомления руководителя о временном секретном коде для новых сотрудников. | Manager | |
manager | Это атрибут, используемый рабочим процессом жизненного цикла | Сотрудник |
В этом руководстве атрибут почты mail требуется задать только в учетной записи руководителя, а атрибут руководителя manager — только в учетной записи сотрудника. Выполните указанные ниже действия.
- Войдите в Центр администрирования Microsoft Entra как минимум от имени администратора пользователей.
- Перейдите к >удостоверению>Пользователи>Все пользователи.
- Выберите Melva Prince.
- В верхней части нажмите кнопку Изменить.
- В разделе руководителя нажмите Изменить и выберите Britta Simon.
- В верхней части выберите Сохранить.
- Вернитесь к пользователям и выберите Britta Simon.
- В верхней части нажмите кнопку Изменить.
- В разделе Электронная почта введите действительный адрес электронной почты.
- Щелкните Сохранить.
Изменение атрибута employeeHireDate
Атрибут employeeHireDate является новым для Microsoft Entra идентификатора. Он недоступен в пользовательском интерфейсе и задается с помощью Graph. Для редактирования этого атрибута можно использовать песочницу Graph.
Примечание
Учтите, что рабочий процесс не будет запускаться, если дата найма сотрудника (число дней с момента события) раньше даты создания рабочего процесса. Для атрибута employeeHiredate должно быть предусмотрено значение в будущем на этапе проектирования. Даты, используемые в этом руководстве, соответствуют моментальному снимку во времени. Таким образом, нужно изменить эти даты соответствующим образом.
Для этого необходимо получить идентификатор объекта для нашего пользователя Melva Prince.
Войдите в Центр администрирования Microsoft Entra как минимум от имени администратора пользователей.
Перейдите к >удостоверению>Пользователи>Все пользователи.
Выберите Melva Prince.
Выберите знак копирования рядом с полем Идентификатор объекта.
Перейдите в песочницу Graph.
Войдите в песочницу Graph с учетной записью глобального администратора для своего арендатора.
Вверху измените GET на PATCH и добавьте
https://graph.microsoft.com/v1.0/users/<id>
в поле. Замените<id>
значением, скопированным ранее.Скопируйте следующий код в поле Текст запроса и выберите Выполнить запрос.
{ "employeeHireDate": "2022-04-15T22:10:00Z" }
Проверьте изменение: снова замените PATCH на GET, а 1.0 — на beta. Выберите Выполнить запрос. Вы увидите набор атрибутов Melva.
Изменение атрибута руководителя в учетной записи сотрудника
Атрибут руководителя используется задачами уведомления по электронной почте. С его помощью рабочий процесс жизненного цикла отправляет руководителю временный пароль для нового сотрудника. Выполните следующие действия, чтобы убедиться, что у пользователей Microsoft Entra есть значение атрибута manager.
Оставайтесь в песочнице Graph.
Убедитесь, что вверху по-прежнему выбрано PUT, а в поле указано значение
https://graph.microsoft.com/v1.0/users/<id>/manager/$ref
. Замените<id>
идентификатором пользователя Melva Prince.Скопируйте приведенный ниже код в текст запроса
Замените
<managerid>
в следующем коде значением идентификатора Britta Simons.Выберите Выполнить запрос.
{ "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>" }
Теперь мы можем проверить правильность настроек руководителя, заменив PUT на GET.
В поле должно быть указано значение
https://graph.microsoft.com/v1.0/users/<id>/manager/
. Для параметра<id>
по-прежнему должно быть задано значение пользователя Melva Prince.Выберите Выполнить запрос. В ответе должен отобразиться пользователь Britta Simon.
Дополнительные сведения об обновлении данных руководителя для пользователя с помощью API Graph см. в документации по назначению руководителя. Этот атрибут также можно задать в Центре администрирования Azure. Дополнительные сведения см. в разделе о добавлении и изменении данных профиля.
Включение временного секретного кода (TAP)
Временный секретный код выдается администратором, имеет ограниченный срок действия и удовлетворяет требованиям к строгой проверке подлинности.
В этом сценарии мы используем функцию идентификатора Microsoft Entra для создания временного прохода доступа для нового сотрудника. Затем он будет отправлен руководителю сотрудника.
Чтобы использовать эту функцию, ее необходимо включить в клиенте Microsoft Entra. Для этого выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум глобальный администратор.
- Перейдите кстатье Методы> проверки подлинности защиты>Временный проход доступа
- Выберите Да, чтобы включить политику, добавьте пользователя Britta Simon, выберите пользователей, к которым политика будет применена, и настройте все общие параметры.
Дополнительные действия для сценария увольнения из организации
Существуют некоторые дополнительные действия, которые следует учитывать при тестировании руководства по отключению пользователей из организации с помощью рабочих процессов жизненного цикла с помощью центра администрирования Microsoft Entra или руководства По отключению пользователей из вашей организации с помощью рабочих процессов жизненного цикла с Microsoft Graph.
Настройка членства пользователей в группах и Teams
Для работы с руководствами по сценарию увольнения из организации требуется пользователь с членством в группах и Teams.
Дальнейшие действия
- Подключение пользователей к организации с помощью рабочих процессов жизненного цикла в Центре администрирования Microsoft Entra
- Подключение пользователей к организации с помощью рабочих процессов жизненного цикла в Microsoft Graph
- Руководство. Отключение пользователей из организации с помощью рабочих процессов жизненного цикла с помощью Центра Microsoft Entra Администратор
- Руководство. Отключение пользователей из вашей организации с помощью рабочих процессов жизненного цикла с Microsoft Graph