Руководство по Настройка Workday для автоматической подготовки пользователей

Цель этого учебника — показать, как подготавливать профили работников из Workday в локальной службе Azure Active Directory (AD).

Примечание.

Используйте это руководство, если пользователи, которые вы хотите подготовить из Workday, требуются локальная учетная запись AD и учетная запись Microsoft Entra.

• Если пользователям из Workday требуется только учетная запись Microsoft Entra (только облачные пользователи), обратитесь к руководству по настройке Workday для подготовки пользователей Идентификатора Microsoft Entra.
• Чтобы настроить обратную запись атрибутов, таких как адрес электронной почты, имя пользователя и номер телефона из идентификатора Microsoft Entra в Workday, ознакомьтесь с руководством по настройке обратной записи Workday.

В следующем видео представлен краткий обзор шагов, связанных с планированием интеграции подготовки с Workday.

Обзор

Служба подготовки пользователей Microsoft Entra интегрируется с API кадров Workday для подготовки учетных записей пользователей. Рабочие процессы подготовки пользователей Workday, поддерживаемые службой подготовки пользователей Microsoft Entra, обеспечивают автоматизацию следующих сценариев управления жизненным циклом кадров и удостоверений:

• Нанимать новых сотрудников. При добавлении нового сотрудника в Workday учетная запись пользователя автоматически создается в Active Directory, идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra, с обратной записью в Workday.

• Обновления атрибутов и профилей сотрудников. При обновлении записи сотрудника в Workday (например, имя, название или менеджер) учетная запись пользователя будет автоматически обновлена в Active Directory, идентификаторе Microsoft Entra ID, а также при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.

• Завершение работы сотрудников. При завершении работы сотрудника в Workday их учетная запись пользователя автоматически отключается в Active Directory, идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.

• Повторное получение сотрудников. При повторном подключении сотрудников в Workday их старая учетная запись может быть автоматически активирована или повторно подготовлена (в зависимости от вашего предпочтения) в Active Directory, идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra ID.

Новые возможности

В этом разделе записаны последние улучшения интеграции с Workday. Список комплексных обновлений, запланированных изменений и архивов см. на странице "Новые возможности идентификатора Microsoft Entra"?

• Октябрь 2020 г. — включенная подготовка по запросу для Workday: с помощью подготовки по запросу теперь можно проверить сквозную подготовку для определенного профиля пользователя в Workday, чтобы проверить сопоставление атрибутов и логику выражений.

• Май 2020 г. — возможность записи номеров телефонов обратной записи в Workday: помимо электронной почты и имени пользователя, теперь можно записать рабочий номер телефона и номер мобильного телефона из Идентификатора Microsoft Entra в Workday. Дополнительные сведения см. в учебнике по приложению для обратной записи.

• Апрель 2020 г. — поддержка последней версии API веб-служб Workday (WWS): в два раза в год в марте и сентябре Workday предоставляет расширенные функции обновления, которые помогут вам выполнить бизнес-цели и изменить требования к рабочей силе. Чтобы воспользоваться преимуществами этих новых возможностей, предоставляемыми Workday, вы теперь можете непосредственно указать версию API-интерфейса WWS, которую вы хотите использовать в URL-адресе подключения. Дополнительные сведения о том, как указать версию API-интерфейса Workday, см. в разделе о настройке подключения к Workday.

Кому это решение подготовки пользователей подходит лучше всего?

Это решение подготовки пользователей в Workday идеально подходит для:

• организаций, которым необходимо готовое облачное решение для подготовки пользователей в Workday;

• Организации, которым требуется прямая подготовка пользователей из Workday в Active Directory или идентификатор Microsoft Entra

• организаций, которым требуется подготавливать пользователей с помощью данных, полученных из модуля HCM Workday (см. раздел об операции Get_Workers);

• организаций, которым необходимо синхронизировать процессы присоединения, перемещения и удаления пользователей с одним или несколькими лесами Active Directory, доменами и подразделениями на основе только данных изменений, обнаруженных в модуле HCM Workday (см. раздел об операции Get_Workers);

• организаций, использующих Microsoft 365 для электронной почты.

Архитектура решения

В этом разделе описывается архитектура полноценного решения для подготовки пользователей в распространенных гибридных средах. Имеется два связанных потока:

• Достоверный поток данных отдела кадров — от Workday до локальная служба Active Directory: в этом потоке рабочие события (такие как новые сотрудники, передачи, прекращение работы) сначала происходят в облачном клиенте Workday HR, а затем данные событий передаются в локальная служба Active Directory через идентификатор Microsoft Entra и агент подготовки. В зависимости от события, это может приводить к операциям создания, обновления, включения или отключения в AD.
• Поток обратной записи — от локальная служба Active Directory до Workday: после завершения создания учетной записи в Active Directory он синхронизируется с идентификатором Microsoft Entra через Microsoft Entra Подключение и сведения, такие как электронная почта, имя пользователя и номер телефона, можно записать обратно в Workday.

Полноценный поток данных пользователей

1. Команда отдела кадров выполняет транзакции с работниками (присоединение, перемещение и удаление или найм, перевод и увольнение) в Workday HCM.
2. Служба подготовки Microsoft Entra выполняет запланированные синхронизации удостоверений из Workday HR и определяет изменения, которые необходимо обработать для синхронизации с локальная служба Active Directory.
3. Служба подготовки Microsoft Entra вызывает локальный агент подготовки Microsoft Entra Подключение Provisioning Agent с полезными данными запроса, содержащими учетную запись AD create/update/enable/disable operations.
4. Агент подготовки Microsoft Entra Подключение использует учетную запись службы для добавления и обновления данных учетной записи AD.
5. Подсистема синхронизации Microsoft Entra Подключение / AD Sync выполняет разностную синхронизацию для извлечения обновлений в AD.
6. Обновления Active Directory синхронизируются с идентификатором Microsoft Entra.
7. Если приложение обратной записи Workday настроено, оно выполняет обратную запись таких атрибутов, как адрес электронной почты, имя пользователя и номер телефона, в Workday.

Планирование развертывания

Для настройки подготовки пользователей из Workday в Azure AD требуется основательное планирование, охватывающее различные аспекты, в числе которых:

• Настройка агента подготовки Microsoft Entra Подключение
• количество развертываемых приложений подготовки пользователей из Workday в AD;
• Выбор подходящего идентификатора, сопоставления атрибутов, преобразований и фильтров области

Подробные инструкции см. в плане развертывания облачных служб управления персоналом.

Настройка пользователя системы интеграции в Workday

Общее требование всех соединителей подготовки Workday состоит в том, что для подключения к API отдела кадров Workday необходимы учетные данные для пользователя системы интеграции Workday. В следующих разделах описывается создание пользователя системы интеграции в Workday:

• Создание пользователя системы интеграции
• Создание группы безопасности интеграции
• Настройка разрешений политики безопасности домена
• Настройка разрешений политики безопасности для бизнес-процессов
• Активация изменений политики безопасности

Примечание.

Эту процедуру можно обойти и использовать учетную запись глобального администратора Workday в качестве учетной записи системной интеграции. Такой вариант подойдет для демонстраций, но не рекомендуется для рабочих развертываний.

Создание пользователя системы интеграции

Создание пользователя системы интеграции:

1. Войдите в клиент Workday с помощью учетной записи администратора. В области Workday Application введите в поле поиска "create user", а затем щелкните ссылку Create Integration System User (Создать пользователя системы интеграции).

   

2. Завершите задачу Создание пользователя системы интеграции , указав имя пользователя и пароль для нового пользователя системы интеграции.

   • Не устанавливайте флажок Require New Password at Next Sign In (Запросить новый пароль при следующем входе), так как этот пользователь будет осуществлять вход в систему программными средствами.
   • Для параметра Session Timeout Minutes (Время ожидания сеанса в минутах) оставьте значение по умолчанию 0, что позволит сеансам пользователя не завершаться раньше времени.
   • Выберите параметр Do Not Allow UI Sessions (Не разрешать сеансы пользовательского интерфейса), так как он предоставляет пользователю пароль системы интеграции при входе в Workday.

   

Создание группы безопасности интеграции

На этом этапе вы создадите неограниченную или ограниченную группу безопасности системы интеграции в Workday и назначите этой группе систему интеграции, созданную пользователем на предыдущем этапе.

Создание группы безопасности:

1. Введите в поле поиска текст "создать группу безопасности", а затем щелкните Создать группу безопасности.

   

2. Завершите задачу создания группы безопасности.

   • Есть два типа групп безопасности в Workday:

     • Без ограничений: все члены группы безопасности могут получить доступ ко всем экземплярам данных, защищенным группой безопасности.
     • Ограниченно. Все члены группы безопасности имеют контекстный доступ к подмножествам экземпляров данных (строк), к которым может получить доступ группа безопасности.

   • Обратитесь к партнеру по интеграции Workday, чтобы выбрать подходящий тип группы безопасности для интеграции.

   • Зная тип группы, выберите Integration System Security Group (Unconstrained) (Группа безопасности системы интеграции без ограничений) или Integration System Security Group (Сonstrained) (Группа безопасности системы интеграции с ограничениями) в раскрывающемся списке Type of Tenanted Security Group (Тип клиентской группы безопасности).

     

3. После успешного создания группы безопасности вы увидите страницу, где можно назначать участников группе безопасности. Добавьте в эту группу безопасности нового пользователя системы интеграции, созданного на предыдущем шаге. Если вы используете группу безопасности с ограничениями, вам также нужно будет выбрать соответствующую область организации.

   

Настройка разрешений политики безопасности домена

На этом этапе вы предоставите группе безопасности разрешения политики "безопасности домена" для данных рабочей роли.

Настройка разрешений политики безопасности домена:

1. Введите в поле поиска членство в группе безопасности и доступ к ней и щелкните ссылку на отчет.

   

2. Найдите и выберите группу безопасности, созданную на предыдущем шаге.

   

3. Щелкните многоточие (...) рядом с именем группы и в меню выберите > "Сохранить разрешения домена для группы безопасности"

   

4. В разделе Integration Permissions (Разрешения интеграции) добавьте следующие домены в список Domain Security Policies permitting Put access (Политики безопасности домена, разрешающие доступ для запросов Put).

   • External Account Provisioning (Подготовка внешних учетных записей)
   • Worker Data: Public Worker Reports (Данные о работниках: общедоступные отчеты о работниках)
   • Данные пользователя: сведения о рабочем контакте (требуется, если вы планируете обратно записывать контактные данные из идентификатора Microsoft Entra в Workday)
   • Учетные записи Workday (требуется, если вы планируете записать имя пользователя или имя участника-пользователя из идентификатора Microsoft Entra в Workday)

5. В разделе Integration Permissions (Разрешения интеграции) добавьте следующие домены в список Domain Security Policies permitting Get access (Политики безопасности домена, разрешающие доступ для запросов Get).

   • Рабочие данные: рабочие
   • Worker Data: All Positions (Данные о работниках: все позиции)
   • Worker Data: Current Staffing Information (Данные о работниках: сведения о текущем персонале)
   • Worker Data: Business Title on Worker Profile (Данные о работниках: рабочая должность в профиле работника)
   • Рабочие данные: квалифицированные работники (необязательно) — добавьте это для получения данных о квалификации работников для подготовки)
   • Рабочие данные: навыки и опыт (необязательно. Добавьте это для получения данных о рабочих навыках для подготовки)

6. После выполнения указанных выше действий появится экран с разрешениями, как показано ниже:

   

7. Чтобы завершить настройку, щелкните OK и Done (Готово) на следующем экране.

Настройка разрешений политики безопасности для бизнес-процессов

На этом этапе вы предоставите группе безопасности разрешения политики безопасности бизнес-процессов для данных рабочей роли.

Примечание.

Этот шаг необходим только для настройки соединителя приложения Workday Writeback.

Настройка разрешений политики безопасности для бизнес-процессов:

1. Введите Business Process Policy в поле поиска и выберите задачу Edit Business Process Security Policy (Изменение политики безопасности бизнес-процессов).

   

2. В текстовом поле Тип бизнес-процесса выполните поиск по запросу Контакт, выберите бизнес-процесс Work Contact Change (Изменение рабочего контакта) и нажмите кнопку ОК.

   

3. Прокрутите страницу Edit Business Process Security Policy (Изменение политики безопасности бизнес-процессов) до раздела Change Work Contact Information (Web Service) (Изменение рабочих контактных данных — веб-служба).

4. Выберите новую группу безопасности системы интеграции и добавьте ее в список групп безопасности, которая может инициировать запрос к веб-службам.

   

5. Нажмите кнопку Готово.

Активация изменений политики безопасности

Активация изменений политики безопасности:

1. Введите "активировать" в поле поиска и затем нажмите ссылку Активировать ожидающие изменения политики безопасности.

   

2. Начните выполнять задачу активации ожидающих изменений политики безопасности: введите комментарий для проведения аудита и нажмите кнопку ОК.

3. Завершите задачу на следующем экране, установив флажок Confirm (Подтверждаю) и нажав кнопку ОК.

   

Предварительные требования для установки агента подготовки

Прежде чем переходить к следующему разделу, изучите предварительные требования для установки агента подготовки.

Настройка подготовки пользователей из Workday в Active Directory

В этом разделе описаны шаги для подготовки учетных записей пользователей из Workday в каждом домене Active Directory в области интеграции.

• Добавление приложения соединителя подготовки и скачивание агента подготовки
• Установка и настройка локальных агентов подготовки
• Настройка подключений к Workday и Active Directory
• Настройка сопоставлений атрибутов
• Включение и запуск подготовки пользователей

Часть 1. Добавление приложения соединителя подготовки и скачивание агента подготовки

Настройка подготовки Workday в Active Directory.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.

3. Выполните поиск по условию Подготовка пользователей Workday в Active Directory и добавьте это приложение из коллекции.

4. После добавления приложения и отображения экрана сведений о приложении выберите Подготовка.

5. Для параметра Режим подготовкик работе выберите значение Автоматически.

6. Щелкните информационный баннер, чтобы скачать агент подготовки.

   

Часть 2. Установка и настройка локальных агентов подготовки

Чтобы подготовить локальную службу Active Directory, необходимо установить агент подготовки на присоединенном к домену сервере с сетевым доступом к нужным доменам Active Directory.

Перенесите скачанный установщик агента на узел сервера и следуйте инструкциям из раздела об установке агента, чтобы завершить настройку агента.

Часть 3. В приложении подготовки настройте подключение к Workday и Active Directory

На этом шаге мы устанавливаем подключение к Workday и Active Directory.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям> Identity>Apps Enterprise Workday в приложение подготовки пользователей>Active Directory, созданное в части 1.

3. В разделе Учетные данные администратора заполните поля следующим образом.

   • Имя пользователя Workday — введите имя пользователя учетной записи системы интеграции Workday, указав имя домена клиента. Это должно выглядеть примерно так: имя_пользователя@имя_клиента.

   • Пароль Workday — введите пароль учетной записи системы интеграции Workday.

   • URL-адрес API веб-служб Workday — введите URL-адрес конечной точки веб-служб Workday для вашего клиента. URL-адрес определяет версию API веб-служб Workday, используемую соединителем.

     Формат URL-адреса	Используемая версия API WWS	Требуются изменения XPATH
     https://####.workday.com/ccx/service/tenantName	версия 21.1	No
     https://####.workday.com/ccx/service/tenantName/Human_Resources	версия 21.1	No
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	версия ##.#	Да

     Примечание.

     Если в URL-адресе не указаны сведения о версии, приложение использует веб-службы Workday (WWS) версии 21.1 и не требуется вносить никаких изменений в выражения API XPATH по умолчанию, поставляемые с приложением. Чтобы использовать определенную версию API WWS, укажите номер версии в URL-адресе.
     Пример: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     Если вы используете API WWS версии 30.0 или более поздней, прежде чем включать задание подготовки, обновите выражения API XPATH в разделе Сопоставление атрибутов > Дополнительные параметры > Изменить список атрибутов для Workday в соответствии с разделами Управление конфигурацией и Описание атрибутов Workday.

   • Лес Active Directory — имя домена Active Directory, зарегистрированное в агенте. В раскрывающемся списке выберите целевой домен для подготовки. Как правило, это строка вида: contoso.com.

   • Контейнер Active Directory — выберите различающееся имя контейнера, в котором агент должен по умолчанию создавать учетные записи пользователей. Пример: OU=Standard Users,OU=Users,DC=contoso,DC=test

     Примечание.

     Этот параметр используется только при создании учетных записей, если в сопоставлениях атрибутов не настроен атрибут parentDistinguishedName. Этот параметр не используется для операций обновления и поиска пользователей. Областью действия операции поиска является все дочернее дерево домена.

   • Электронная почта для уведомлений — введите адрес электронной почты и установите флажок "send email if failure occurs" (Отправлять по электронной почте в случае сбоя).

     Примечание.

     Служба подготовки Microsoft Entra отправляет уведомление по электронной почте, если задание подготовки переходит в состояние карантина .

   • Нажмите кнопку Проверить подключение. Если проверка подключения выполнена успешно, нажмите кнопку Сохранить в верхней части. В случае неудачи убедитесь, что учетные данные Workday и AD, заданные в настройках агента, действительны.

     

   • После успешного сохранения учетных данных в разделе Сопоставления отобразится сопоставление по умолчанию Synchronize Workday Workers to On Premises Active Directory (Синхронизировать работников Workday с локальной средой Active Directory).

Часть 4. Настройка сопоставлений атрибутов

В этом разделе вы настроите потоки данных пользователя из Workday в Active Directory.

1. На вкладке "Подготовка" в разделе Сопоставления щелкните Synchronize Workday Workers to On Premises Active Directory (Синхронизировать работников Workday с локальной средой Active Directory).

2. В поле Область исходного объекта можно выбрать, какие наборы пользователей в Workday должны учитываться при подготовке в AD, определив набор фильтров на основе атрибутов. Область по умолчанию — "все пользователи в Workday". Примеры фильтров

   • Пример. Охват пользователей с идентификаторами рабочих ролей в диапазоне от 1000000 до 2000000 (не включая 2000000)

     • Атрибут: WorkerID

     • Оператор: REGEX Match

     • Значение: (1[0–9][0–9][0–9][0–9][0–9][0–9])

   • Пример: только сотрудники, а не временные работники

     • Атрибут: EmployeeID

     • Оператор: IS NOT NULL

   Совет

   При первой настройке приложения подготовки необходимо проверить сопоставления атрибутов и выражения, чтобы получить желаемый результат. Корпорация Майкрософт рекомендует использовать фильтры области действия в разделе Область исходного объекта и подготовку по требованию для проверки сопоставлений с несколькими тестовыми пользователями из Workday. После проверки работоспособности сопоставлений можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.

   Внимание

   Поведение по умолчанию обработчика подготовки заключается в том, чтобы отключить или удалить неподходящих пользователей. Это может быть нежелательно в случае интеграции Workday с AD. Сведения о том, как переопределить такое поведение по умолчанию, см. в статье Пропустить удаление учетных записей неподходящих пользователей.

3. В поле Действия с целевыми объектами можно в глобальном масштабе отфильтровать, какие действия доступны для выполнения в Active Directory. Самыми распространенными являются создание и обновление.

4. В разделе Сопоставление атрибутов можно определить, как отдельные атрибуты Workday сопоставляются с атрибутами Active Directory.

5. Щелкните существующее сопоставление атрибута, чтобы его обновить, или Добавить новое сопоставление в нижней части экрана, чтобы добавить новые сопоставления. Отдельное сопоставление атрибутов поддерживает следующие свойства:

   • Тип сопоставления

     • Прямой — записывает значение атрибута Workday без изменений в атрибут AD.

     • Константа — записывает статическое постоянное строковое значение в атрибут AD.

     • Выражение — позволяет записывать пользовательское значение в атрибут AD на основании одного или нескольких атрибутов Workday. Дополнительные сведения см. в статье о выражениях.

   • Исходный атрибут — атрибут пользователя из Workday. Если нужный вам атрибут отсутствует, см. раздел Настройка списка атрибутов пользователя Workday.

   • Значение по умолчанию — необязательно. Если исходный атрибут имеет пустое значение, сопоставление запишет это значение. В наиболее распространенной конфигурации это поле остается пустым.

   • Целевой атрибут — атрибут пользователя в Active Directory.

   • Сопоставление объектов с помощью этого атрибута — должно ли это сопоставление использоваться для уникальной идентификации пользователей между Workday и Active Directory. Как правило, значение задается в поле ИД работника для Workday, который обычно сопоставляется с одним из атрибутов ИД сотрудника в Active Directory.

   • Приоритет сопоставления — возможность указания нескольких атрибутов сопоставления. При указании нескольких атрибутов сопоставления они вычисляются в порядке, заданном в этом поле. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются.

   • Применить это сопоставление

     • Всегда — применить это сопоставление как при создании, так и при обновлении пользователей

     • Только при создании — применить это сопоставление только при создании пользователей

6. Чтобы сохранить сопоставления, щелкните Сохранить в верхней части раздела "Сопоставление атрибутов".

   

Ниже приведено несколько примеров сопоставлений атрибутов между Workday и Active Directory с некоторыми общими выражениями.

• Выражение, которое сопоставляется с атрибутом parentDistinguishedName, используется для подготовки пользователей для разных подразделений на основе одного или нескольких исходных атрибутов Workday. В этом примере пользователи помещаются в разные подразделения в зависимости от города, в котором они находятся.

• Атрибут userPrincipalName в Active Directory создается с использованием функции дедупликации SelectUniqueValue, которая проверяет наличие созданного значения в целевом домене AD и задает его только в том случае, если оно уникально.

• Документацию о написании выражений см. здесь. В этот раздел входят примеры, демонстрирующие удаление специальных символов.

АТРИБУТ WORKDAY	АТРИБУТ ACTIVE DIRECTORY	ИДЕНТИФИКАТОР СОПОСТАВЛЕНИЯ?	СОЗДАНИЕ ИЛИ ОБНОВЛЕНИЕ
WorkerID	EmployeeID	Да	Записывается только при создании
PreferredNameData	cn		Записывается только при создании
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com"))	userPrincipalName		Записывается только при создании
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )	sAMAccountName		Записывается только при создании
Switch([Active], , "0", "True", "1", "False")	accountDisabled		Создание и обновление
FirstName	givenName		Создание и обновление
LastName	sn		Создание и обновление
PreferredNameData	displayName		Создание и обновление
Компания	company		Создание и обновление
SupervisoryOrganization	department		Создание и обновление
ManagerReference	manager		Создание и обновление
BusinessTitle	title		Создание и обновление
AddressLineData	streetAddress		Создание и обновление
Municipality	l		Создание и обновление
CountryReferenceTwoLetter	co		Создание и обновление
CountryReferenceTwoLetter	c		Создание и обновление
CountryRegionReference	st		Создание и обновление
WorkSpaceReference	physicalDeliveryOfficeName		Создание и обновление
PostalCode	postalCode		Создание и обновление
PrimaryWorkTelephone	telephoneNumber		Создание и обновление
Факс	facsimileTelephoneNumber		Создание и обновление
Мобильные	мобильный		Создание и обновление
LocalReference	preferredLanguage		Создание и обновление
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")	parentDistinguishedName		Создание и обновление

Завершив настройку сопоставления атрибутов, можно протестировать подготовку по требованию для одного пользователя, а затем включить и запустить службу подготовки пользователей.

Включение и запуск подготовки пользователей

После завершения конфигураций приложений подготовки Workday и проверки подготовки для одного пользователя с подготовкой по запросу можно включить службу подготовки.

Совет

По умолчанию при включении службы подготовки она инициализирует операции подготовки для всех пользователей в области. При наличии ошибок в сопоставлении или проблем с данными Workday задание подготовки может завершиться ошибкой и перейти в состояние карантина. Чтобы избежать этого, рекомендуем настроить фильтр Область исходного объекта и протестировать сопоставления атрибутов с несколькими тестовыми пользователями с помощью подготовки по требованию перед запуском полной синхронизации всех пользователей. После проверки работоспособности сопоставлений и получения желаемых результатов можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.

1. Перейдите в колонку Подготовка и щелкните Начать подготовку.

2. Будет запущена начальная синхронизация, которая может длиться переменное число часов в зависимости от количества пользователей в клиенте Workday. Ход выполнения цикла синхронизации можно проверить на индикаторе выполнения для отслеживания.

3. В любой момент можно проверить вкладку Журналы аудита на портале Azure, чтобы узнать, какие действия выполнила служба подготовки. В журналах аудита перечислены все отдельные события синхронизации, выполняемые службой подготовки, например, какие пользователи считываются из Workday и впоследствии будут добавлены или обновлены в Active Directory. Инструкции по просмотру журналов аудита и исправлению ошибок подготовки см. в разделе об устранении неполадок.

4. После завершения первичной синхронизации на вкладке Подготовка будет создан сводный отчет аудита, как показано ниже.

   

Часто задаваемые вопросы

• Вопросы о возможностях решения

  • Как решение устанавливает пароль для новой учетной записи пользователя в Active Directory при обработке найма нового сотрудника из Workday?
  • Поддерживает ли решение отправку уведомлений по электронной почте после завершения подготовки?
  • Кэшируют ли профили пользователей Workday в облаке Microsoft Entra или на уровне агента подготовки?
  • Поддерживает ли решение назначение локальных групп AD пользователю?
  • Какие API-интерфейсы Workday решение использует для запроса и обновления профилей работников Workday?
  • Можно ли настроить клиент Workday HCM с двумя клиентами Microsoft Entra?
  • Разделы справки предлагать улучшения или запрашивать новые функции, связанные с интеграцией Workday и Microsoft Entra?

• Вопросы по работе агента подготовки

  • Какая версия агента подготовки является общедоступной?
  • Как узнать версию моего агента подготовки?
  • Автоматически ли корпорация Майкрософт отправляет обновления агента подготовки?
  • Можно ли установить агент подготовки на том же сервере, на котором работает Microsoft Entra Подключение?
  • Как настроить агент подготовки для использования прокси-сервера исходящих HTTP-подключений?
  • Разделы справки убедитесь, что агент подготовки может взаимодействовать с клиентом Microsoft Entra, и брандмауэры не блокируют порты, необходимые агенту?
  • Как отменить регистрацию домена, связанного с агентом подготовки?
  • Как удалить агент подготовки?

• Вопросы по конфигурации и сопоставлению атрибутов Workday и AD

  • Как создать резервную копию или экспортировать рабочую копию сопоставления атрибутов подготовки Workday и схемы?
  • У меня есть настраиваемые атрибуты в Workday и Active Directory. Как настроить решение для работы с настраиваемыми атрибутами?
  • Можно ли подготовить фотографию пользователя из Workday в Active Directory?
  • Как на основе согласия пользователя синхронизировать мобильные номера из Workday для публичного использования?
  • Как форматировать отображаемые имена в AD на основе атрибутов отдела, страны и города пользователя и обрабатывать региональные различия?
  • Как использовать SelectUniqueValue для создания уникальных значений атрибута samAccountName?
  • Как удалить символы с диакритическими знаками и преобразовать их в обычный английский алфавит?

Вопросы о возможностях решения

Как решение устанавливает пароль для новой учетной записи пользователя в Active Directory при обработке найма нового сотрудника из Workday?

Когда локальный агент подготовки получает запрос на создание новой учетной записи AD, он автоматически создает сложный случайный пароль, соответствующий требованиям сложности, определенным сервером AD, и устанавливает его для объекта пользователя. Этот пароль нигде не регистрируется.

Поддерживает ли решение отправку уведомлений по электронной почте после завершения подготовки?

Нет, отправка уведомлений по электронной почте после завершения операций подготовки в текущем выпуске не поддерживается.

Кэшируют ли профили пользователей Workday в облаке Microsoft Entra или на уровне агента подготовки?

Нет, решение не поддерживает кэширование профилей пользователей. Служба подготовки Microsoft Entra просто выступает в качестве обработчика данных, считывает данные из Workday и записывает данные в целевой идентификатор Active Directory или Microsoft Entra ID. Дополнительные сведения о конфиденциальности пользователей и хранении данных см. в разделе Управление персональными данными.

Поддерживает ли решение назначение локальных групп AD пользователю?

Сейчас такая возможность не поддерживается. Рекомендуется развернуть сценарий PowerShell, запрашивающий конечную точку API Microsoft Graph для получения данных журнала аудита, и использовать его для запуска сценариев, таких как назначение групп. Этот сценарий PowerShell можно присоединить к планировщику задач и развернуть в том же окне, где запущен агент подготовки.

Какие API-интерфейсы Workday решение использует для запроса и обновления профилей работников Workday?

В настоящее время решение использует следующие API Workday:

• В разделе Учетные данные администратора используется формат URL-адреса API WWS, который определяет версию API, используемую для Get_Workers.

  • Если URL-адрес имеет формат https://####.workday.com/ccx/service/tenantName, то используется API версии 21.1.
  • Если URL-адрес имеет формат https://####.workday.com/ccx/service/tenantName/Human_Resources, то используется API версии 21.1.
  • Если URL-адрес имеет формат https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#, то используется указанная версия API. (Например, если указана версия 34.0, тогда используется она.)

• Функция обратной записи электронной почты Workday использует Change_Work_Contact_Information (версии 30.0).

• Функция обратной записи имени пользователя Workday использует Update_Workday_Account (версии 31.2).

Можно ли настроить клиент Workday HCM с двумя клиентами Microsoft Entra?

Да, эта конфигурация поддерживается. Ниже приведены основные действия, необходимые для настройки такого сценария.

• Разверните агент подготовки #1 и зарегистрируйте его в клиенте Microsoft Entra #1.
• Разверните агент подготовки #2 и зарегистрируйте его в клиенте Microsoft Entra #2.
• На основе "дочерних доменов", которыми будет управлять каждый агент подготовки, настройте домены для каждого агента. Один агент может обрабатывать несколько доменов.
• На портале Azure настройте приложение для подготовки пользователей из Workday в AD в каждом клиенте и настройте для него соответствующие домены.

Разделы справки предлагать улучшения или запрашивать новые функции, связанные с интеграцией Workday и Microsoft Entra?

Мы очень ценим ваши отзывы, так как они помогают нам задать направление для будущих выпусков и улучшений. Мы приветствуем все отзывы и рекомендуем вам отправить вашу идею или предложение по улучшению на форуме отзывов Идентификатора Microsoft Entra. Чтобы просмотреть конкретные идеи, связанные с интеграцией Workday, выберите категорию Приложения SaaS и выполните поиск по ключевому слову Workday, чтобы найти существующие идеи и предложения по Workday.

Когда предлагаете новую идею, проверьте, не предложил ли кто-то еще аналогичную функцию. В этом случае вы можете проголосовать за возможность или запрос на усовершенствование. Вы также можете оставить комментарий относительно вашего варианта использования, чтобы поддержать идею и продемонстрировать, чем эта функция будет ценна для вас.

Вопросы по работе агента подготовки

Какая версия агента подготовки является общедоступной?

Ознакомьтесь с агентом подготовки Microsoft Entra Подключение: журнал выпусков версий последней общедоступной версии агента подготовки.

Как узнать версию моего агента подготовки?

• Войдите на сервер Windows, где установлен агент подготовки.

• Перейдите в меню Панель управления ->Удаление или изменение программы.

• Найдите версию, соответствующую записи Microsoft Entra Подключение Agent подготовки

  

Автоматически ли корпорация Майкрософт отправляет обновления агента подготовки?

Да, корпорация Майкрософт автоматически обновляет агент подготовки, если служба Microsoft Entra Подключение Agent Updater запущена и запущена.

Можно ли установить агент подготовки на том же сервере, на котором работает Microsoft Entra Подключение?

Да, агент подготовки можно установить на том же сервере, на котором выполняется microsoft Entra Подключение.

Во время настройки агент подготовки запрашивает учетные данные администратора Microsoft Entra. Агент хранит учетные данные локально на сервере?

Во время настройки агент подготовки запрашивает учетные данные администратора Microsoft Entra только для подключения к клиенту Microsoft Entra. Агент не хранит учетные данные локально на сервере. Однако он хранит учетные данные, используемые для подключения к локальному домену Active Directory, в локальном хранилище паролей Windows.

Как настроить агент подготовки для использования прокси-сервера исходящих HTTP-подключений?

Агент подготовки поддерживает использование исходящего прокси-сервера. Это можно настроить, изменив файл конфигурации агента C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Добавьте в него следующие строки в конце файла непосредственно перед закрывающим тегом </configuration>. Замените переменные [proxy-server] и [proxy-port] значениями имени прокси-сервера и номера порта.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Разделы справки убедитесь, что агент подготовки может взаимодействовать с клиентом Microsoft Entra, и брандмауэры не блокируют порты, необходимые агенту?

Можно также проверить, открыты ли все необходимые порты.

Можно ли настроить один агент подготовки для подготовки нескольких доменов AD?

Да, один агент подготовки можно настроить для обработки нескольких доменов AD, если он может напрямую подключаться к соответствующим контроллерам домена. Корпорация Майкрософт рекомендует создать группу из 3 агентов подготовки, обслуживающих один и тот же набор доменов AD, чтобы обеспечить высокую доступность и поддержку при отработке отказа.

Как отменить регистрацию домена, связанного с агентом подготовки?

*, получите идентификатор клиента клиента Microsoft Entra.

• Войдите на сервер Windows, где запущен агент подготовки.

• Откройте PowerShell от имени администратора Windows.

• Перейдите в каталог, содержащий скрипты регистрации, и выполните следующие команды, заменив параметр [tenant ID] значением вашего идентификатора клиента.

  cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
  Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
  Get-PublishedResources -TenantId "[tenant ID]"
  

• В появившемся списке агентов скопируйте значение поля id из ресурса, в котором resourceName соответствует вашему доменному имени AD.

• Вставьте значение идентификатора в эту команду и выполните ее в PowerShell.

  Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
  

• Повторно запустите мастер настройки агента.

• Любые другие агенты, которые ранее были назначены этому домену, необходимо будет перенастроить.

Как удалить агент подготовки?

• Войдите на сервер Windows, где установлен агент подготовки.
• Перейдите в меню Панель управления ->Удаление или изменение программы.
• Удалите следующие программы:
  • Агент подготовки Microsoft Entra Подключение
  • Microsoft Entra Подключение Agent Updater
  • Пакет агента подготовки Microsoft Entra Подключение

Вопросы по конфигурации и сопоставлению атрибутов Workday и AD

Как создать резервную копию или экспортировать рабочую копию сопоставления атрибутов подготовки Workday и схемы?

С помощью API Microsoft Graph можно экспортировать конфигурацию подготовки пользователей Workday. Дополнительные сведения см. в разделе Экспорт и импорт конфигурации.

У меня есть настраиваемые атрибуты в Workday и Active Directory. Как настроить решение для работы с настраиваемыми атрибутами?

Решение поддерживает настраиваемые атрибуты Workday и Active Directory. Чтобы добавить такие атрибуты в схему сопоставления, откройте колонку Сопоставление атрибутов и прокрутите вниз, чтобы развернуть раздел Показать дополнительные параметры.

Чтобы добавить настраиваемые атрибуты Workday, щелкните параметр Edit attribute list for Workday (Изменить список атрибутов для Workday), а чтобы добавить настраиваемые атрибуты AD — параметр Edit attribute list for On Premises Active Directory (Изменить список атрибутов для локальной службы Active Directory).

См. также:

• Настройка списка атрибутов пользователя Workday

Как настроить решение так, чтобы обновлять только атрибуты в AD с учетом изменений Workday и не создавать новые учетные записи AD?

Это можно сделать, выбрав параметр Действия с целевыми объектами в колонке Сопоставления атрибутов, как показано ниже:

Установите флажок "Обновить", чтобы принимать только операции обновления из Workday в AD.

Можно ли подготовить фотографию пользователя из Workday в Active Directory?

В настоящее время решение не поддерживает установку двоичных атрибутов, таких как thumbnailPhoto и jpegPhoto, в Active Directory.

Как на основе согласия пользователя синхронизировать мобильные номера из Workday для публичного использования?

• Перейдите в колонку "Подготовка" в приложении подготовки Workday.

• Щелкните "Сопоставления атрибутов".

• В разделе "Сопоставления" выберите "Синхронизация рабочих ролей Workday" в Локальную службу Active Directory (или синхронизация рабочих ролей Workday с идентификатором Microsoft Entra).

• На странице сопоставления атрибутов прокрутите экран вниз и установите флажок "Показать дополнительные параметры". Щелкните Edit attribute list for Workday (Изменить список атрибутов для Workday).

• В открывающейся колонке найдите атрибут Mobile и щелкните строку, чтобы изменить выражение API

• Замените выражение API следующим новым выражением, которое извлекает номер рабочего мобильного телефона только в том случае, если для параметра публичного использования установлено значение True в Workday.

   wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
  

• Сохраните список атрибутов.

• Сохраните сопоставление атрибутов.

• Очистите текущее состояние и перезапустите полную синхронизацию.

Как форматировать отображаемые имена в AD на основе атрибутов отдела, страны и города пользователя и обрабатывать региональные различия?

Часто требуется настроить атрибут displayName в AD так, чтобы в нем также предоставлялась информация о подразделении и стране пользователя. Например, если Джон Смит работает в отделе маркетинга в США, может потребоваться, чтобы его отображаемое имя отображалось как Смит, Джон (Marketing-US).

Вот как можно обработать такие требования, чтобы создаваемые записи CN или displayName содержали такие атрибуты, как компания, подразделение, город или страна/регион.

• Каждый атрибут Workday извлекается с помощью базового выражения XPath API, которое настраивается в меню Сопоставление атрибутов > раздел Advanced (Дополнительно) > Edit attribute list for Workday (Изменить список атрибутов для Workday). Ниже приведено выражение XPath API по умолчанию для атрибутов Workday PreferredFirstName, PreferredLastName, Company и SupervisoryOrganization.

  Атрибут Workday	Выражение XPath API
  PreferredFirstName	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
  PreferredLastName	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
  Company	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
  SupervisoryOrganization	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

  Согласуйте с командой Workday, допустимо ли приведенное выше выражение API для конфигурации клиента Workday. При необходимости эти выражения можно отредактировать, как описано в разделе Настройка списка атрибутов пользователя Workday.

• Аналогичным образом информация о стране или регионе, присутствующая в Workday, извлекается с помощью следующего выражения XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference.

  В разделе списка атрибутов Workday доступны 5 атрибутов, связанных со страной или регионом.

  Атрибут Workday	Выражение XPath API
  CountryReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
  CountryReferenceFriendly	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
  CountryReferenceNumeric	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
  CountryReferenceTwoLetter	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
  CountryRegionReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

  Согласуйте с командой Workday, допустимы ли приведенные выше выражения API для конфигурации клиента Workday. При необходимости эти выражения можно отредактировать, как описано в разделе Настройка списка атрибутов пользователя Workday.

• Чтобы создать правильное выражение сопоставления атрибутов, определите, какой атрибут Workday "авторитетно" представляет имя, фамилию, страну или регион и отдел пользователя. Предположим, у нас есть атрибуты PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter и SupervisoryOrganization соответственно. Их можно использовать, чтобы создать приведенное ниже выражение для атрибута AD displayName и получить отображаемое имя, например Воронков, Иван (Маркетинг-Россия).

   Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
  

  После получения правильного выражения измените таблицу сопоставления атрибутов и измените сопоставление атрибутов displayName , как показано ниже:

• Расширим приведенный выше пример. Допустим, вы хотите преобразовать названия городов из Workday в сокращенные значения, а затем использовать их, чтобы создать отображаемые имена, например Воронков, Иван (MOS) или Сазанова, Мария (SPT). Это можно сделать с использованием выражения оператора switch с атрибутом Workday Municipality в качестве определяющей переменной.

  Switch
  (
    [Municipality],
    Join(", ", [PreferredLastName], [PreferredFirstName]),  
         "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
         "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
         "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
  )
  

  См. также:

  • Синтаксис функции Switch
  • Синтаксис функции Join
  • Синтаксис функции Append

Как использовать SelectUniqueValue для создания уникальных значений атрибута samAccountName?

Предположим, вы хотите создать уникальные значения для атрибута samAccountName, используя комбинацию атрибутов FirstName и LastName из Workday. Ниже приведено выражение, с которого можно начать:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Как работает приведенное выше выражение: если пользователь Джон Смит, он сначала пытается создать JSmith, если JSmith уже существует, то он создает JoSmith, если это существует, он создает JohSmith. Выражение также проверяет, чтобы созданное значение соответствовало ограничениям длины и специальных знаков, связанных с samAccountName.

См. также:

• Синтаксис функции Mid
• Синтаксис функции Replace
• Синтаксис функции SelectUniqueValue

Как удалить символы с диакритическими знаками и преобразовать их в обычный английский алфавит?

Используйте функцию NormalizeDiacritics, чтобы удалить специальные символы в имени и фамилии пользователя при создании адреса электронной почты или значения CN для пользователя.

Советы по устранению неполадок

В этом разделе содержатся конкретные рекомендации по устранению неполадок с подготовкой интеграции Workday с помощью журналов аудита Microsoft Entra и журналов Windows Server Просмотр событий. Он основан на общих шагах и концепциях устранения неполадок, описанных в руководстве. Отчеты об автоматической подготовке учетных записей пользователей

В этом разделе описываются следующие аспекты устранения неполадок:

• Настройка агента подготовки для создания журналов компонента "Просмотр событий"
• Настройка средства просмотра событий Windows для устранения неполадок агента
• Настройка журналов аудита на портале Azure для устранения неполадок службы
• Общие сведения о журналах операций создания учетных записей пользователей AD
• Общие сведения о журналах операций обновления руководителя
• Устранение распространенных ошибок

Настройка агента подготовки для создания журналов компонента "Просмотр событий"

1. Войдите на компьютер Windows Server, где развернут агент подготовки.

2. Остановите службу Microsoft Entra Подключение Агент подготовки.

3. Создайте копию исходного файла конфигурации: C:\Program Files\Microsoft Azure AD Подключение Agent\AAD ПодключениеProvisioningAgent.exe.config.

4. Замените имеющийся раздел <system.diagnostics> указанным ниже.

   • Конфигурация прослушивателя etw отправляет сообщения в журналы EventViewer.
   • Конфигурация прослушивателя textWriterListener отправляет сообщения трассировки в файл ProvAgentTrace.log. Раскомментируйте только строки, относящиеся к textWriterListener, для расширенного устранения неполадок.

     <system.diagnostics>
         <sources>
         <source name="AAD Connect Provisioning Agent">
             <listeners>
             <add name="console"/>
             <add name="etw"/>
             <!-- <add name="textWriterListener"/> -->
             </listeners>
         </source>
         </sources>
         <sharedListeners>
         <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
         <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
             <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
         </add>
         <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
         </sharedListeners>
     </system.diagnostics>
   
   

5. Запустите службу Microsoft Entra Подключение Agent подготовки.

Настройка средства просмотра событий Windows для устранения неполадок агента

1. Войдите на компьютер Windows Server, где развернут агент подготовки.

2. Откройте настольное приложение просмотра событий Windows Server.

3. Выберите Журналы Windows > Приложение.

4. Используйте параметр Filter Current Log..., чтобы просмотреть все события, зарегистрированные в исходном агенте подготовки Microsoft Entra Подключение, и исключить события с идентификатором события "5", указав фильтр "-5", как показано ниже.

   Примечание.

   Идентификатор события 5 записывает сообщения начальной загрузки агента в облачную службу Microsoft Entra, поэтому мы фильтруем его при анализе файлов журнала.

   

5. Нажмите кнопку ОК и отсортируйте полученное представление по столбцу Дата и время.

Настройка журналов аудита на портале Azure для устранения неполадок службы

1. Откройте портал Azure и перейдите к разделу Журналы аудита приложения подготовки Workday, как описано ранее в этом руководстве.

2. Нажмите кнопку Столбцы на странице "Журналы аудита", чтобы отобразить в представлении только следующие столбцы ("Дата", "Действие", "Состояние", "Причина состояния"). Эта конфигурация гарантирует, что вы сосредоточитесь только на данных, которые имеют отношение к устранению неполадок.

   

3. Отфильтруйте представление, используя параметры запроса Целевой объект и Диапазон дат.

   • Задайте для параметра запроса Целевой объект значение "ИД работника" или "ИД сотрудника" объекта работника Workday.
   • Задайте для диапазона дат соответствующий период времени, за который необходимо проверить наличие ошибок или проблем с подготовкой.

   

Общие сведения о журналах операций создания учетных записей пользователей AD

При обнаружении нового найма в Workday (предположим, с идентификатором сотрудника 21023) служба подготовки Microsoft Entra пытается создать новую учетную запись пользователя AD для рабочей роли и в процессе создает 4 записи журнала аудита, как описано ниже:

Если щелкнуть любую из записей журнала аудита, откроется страница Сведения о действии. Так будет выглядеть страница Сведения о действии для каждого типа записей журнала.

• Запись импорта Workday: эта запись журнала отображает сведения о рабочей роли, полученные из Workday. Используйте информацию, приведенную в разделе Дополнительные сведения для записи журнала, чтобы устранить неполадки, связанные с извлечением данных из Workday. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.

  ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
  

• Запись импорта AD: эта запись журнала отображает сведения о учетной записи, полученной из AD. Так как при первоначальном создании пользователя учетная запись AD отсутствует, в столбцах причины, состояния и активности будет указано, что в Active Directory не найдена учетная запись с таким значением атрибута идентификатора сопоставления. Используйте информацию, приведенную в разделе Дополнительные сведения для записи журнала, чтобы устранить неполадки, связанные с извлечением данных из Workday. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.

  ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportObjectNotFound // Implies that object was not found in AD
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  

  Чтобы найти записи журнала агента подготовки, соответствующие этой операции импорта AD, откройте журналы средства просмотра событий Windows и используйте пункт меню Найти... для поиска записей журнала, содержащих значение атрибута свойства или идентификатора сопоставления (в данном случае 21023).

  

  Найдите запись с идентификатором события 9, которая предоставит вам фильтр поиска LDAP, используемый агентом для получения учетной записи AD. Вы можете проверить, является ли он подходящим фильтром поиска для получения уникальных записей пользователей.

  

  Запись, которая немедленно следует за ней (с идентификатором события 2), фиксирует результат операции поиска и возвращенные результаты.

  

• Запись действия правила синхронизации. Эта запись журнала отображает результаты правил сопоставления атрибутов и настроенные фильтры области вместе с действием подготовки, которое будет предпринято для обработки входящего события Workday. Используйте информацию, приведенную в разделе Дополнительные сведения записи журнала, чтобы устранить неполадки, связанные с действием синхронизации. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.

  ErrorCode : None // Use the error code captured here to troubleshoot sync issues
  EventName : EntrySynchronizationAdd // Implies that the object will be added
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  

  Если возникли проблемы с выражениями сопоставления атрибутов или со входящими данными Workday (например, пустое или нулевое значение для обязательных атрибутов), на этом этапе вы увидите сбой с кодом ошибки, содержащим сведения о ней.

• Запись экспорта AD. Эта запись журнала отображает результат операции создания учетной записи AD вместе со значениями атрибутов, заданными в процессе. Используйте информацию, приведенную в разделе Дополнительные сведения записи журнала, чтобы устранить неполадки, связанные с операцией создания учетной записи. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле. В разделе "Дополнительные сведения" для параметра EventName задано значение EntryExportAdd, для параметра JoiningProperty устанавливается значение атрибута идентификатора сопоставления, для параметра SourceAnchor — значение WorkdayID (WID), связанное с записью, а для параметра TargetAnchor — значение атрибута ObjectGuid AD созданного пользователя.

  ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
  EventName : EntryExportAdd // Implies that object will be created
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user
  

  Чтобы найти записи журнала агента подготовки, соответствующие этой операции импорта AD, откройте журналы средства просмотра событий Windows и используйте пункт меню Найти... для поиска записей журнала, содержащих значение атрибута свойства или идентификатора сопоставления (в данном случае 21023).

  Найдите запись HTTP POST, соответствующую метке времени операции экспорта с идентификатором события = 2. Эта запись будет содержать значения атрибутов, отправленные службой подготовки агенту подготовки.

  

  Сразу после указанного выше события должно быть другое событие, которое фиксирует ответ операции создания учетной записи AD. Это событие возвращает новый идентификатор objectGuid, созданный в AD, который задается как атрибут TargetAnchor в службе подготовки.

  

Общие сведения о журналах операций обновления руководителя

Атрибут руководителя является ссылочным атрибутом в AD. Служба подготовки не устанавливает атрибут руководителя как часть операции создания пользователя. Скорее, атрибут руководителя устанавливается как часть операции обновления после создания учетной записи AD для пользователя. Предположим, что новый сотрудник с идентификатором 21451 активирован в Workday, а у руководителя нового сотрудника (21023) уже есть учетная запись AD. В этом случае в результате поиска пользователя 21451 в журналах аудита отобразится 5 записей.

Первые 4 записи похожи на те, которые мы рассматривали в рамках операции создания пользователя. 5-я запись — это экспорт, связанный с обновлением атрибута руководителя. В записи журнала отображается результат операции обновления руководителя учетной записи AD, которая выполняется с использованием атрибута objectGuid руководителя.

// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object will be created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Устранение распространенных ошибок

В этом разделе рассматриваются распространенные ошибки при подготовке пользователей Workday и способы их устранения. Ошибки разделены на следующие группы:

• ошибки подготовки агента;
• Ошибки подключения.
• ошибки создания учетной записи пользователя AD;
• ошибки обновления учетной записи пользователя AD.

Ошибки подготовки агента

#	Сценарий ошибки	Возможные причины	Рекомендуемое решение
1.	Ошибка при установке агента подготовки с сообщением об ошибке: не удалось запустить службу "Microsoft Entra Подключение Provisioning Agent" (AAD Подключение ProvisioningAgent). Убедитесь, что у вас есть достаточные привилегии для запуска системы.	Эта ошибка обычно появляется при попытке установить агент подготовки на контроллере домена, а групповая политика запрещает запуск службы. Она также отображается, если у вас работает предыдущая версия агента и вы не удалили ее перед началом новой установки.	Установите агент подготовки на сервере, отличном от сервера контроллера домена. Перед установкой нового агента убедитесь, что предыдущие версии агента удалены.
2.	Служба Windows "Microsoft Entra Подключение Provisioning Agent" находится в состоянии запуска и не переключается на состояние "Запуск".	В ходе установки мастер агента создает локальную учетную запись (NT Service\AADConnectProvisioningAgent) на сервере, и эта учетная запись для входа в систему используется для запуска службы. Эта ошибка возникнет, если политика безопасности на сервере Windows запрещает локальным учетным записям запускать службы.	Откройте консоль служб. Щелкните правой кнопкой мыши службу Windows "Microsoft Entra Подключение Provisioning Agent" и на вкладке входа укажите учетную запись администратора домена для запуска службы. Перезапустите службу.
3.	При настройке агента подготовки с доменом AD на шаге подключения Active Directory мастер долго загружает схему AD, но в конечном итоге время ожидания истекает.	Эта ошибка обычно отображается, если мастеру не удается связаться с сервером контроллера домена AD из-за проблем брандмауэра.	На шаге подключения Active Directory в мастере при вводе учетных данных домена AD есть параметр Select domain controller priority (Выбрать приоритет контроллеров домена). Используя этот параметр, выберите контроллер домена, который находится на том же сайте, что и сервер агента, и убедитесь в отсутствии правил брандмауэра, блокирующих связь.

Ошибки подключения.

Если службе подготовки не удается подключиться к Workday или Active Directory, подготовка может перейти в состояние карантина. В следующей таблице приведены сведения по устранению неполадок с подключением.

#	Сценарий ошибки	Возможные причины	Рекомендуемое решение
1.	Щелкнув "Тест" Подключение ion, вы получите сообщение об ошибке: произошла ошибка при подключении к Active Directory. Убедитесь, что локальный агент подготовки запущен и настроен с правильным доменом Active Directory.	Эта ошибка обычно отображается, если агент подготовки не запущен или брандмауэр блокирует связь между идентификатором Microsoft Entra и агентом подготовки. Эта ошибка также может появиться, если домен не настроен в мастере агента.	Откройте консоль Службы на сервере Windows, чтобы убедиться, что агент запущен. Откройте мастер агента подготовки и убедитесь, что нужный домен зарегистрирован в агенте.
2.	Задание подготовки переходит в состояние карантина в выходные дни (пятница и суббота), и мы получаем уведомление по электронной почте о том, что произошла ошибка синхронизации.	Одной из распространенных причин этой ошибки является запланированный простой Workday. Если вы используете клиент реализации Workday, обратите внимание, что Workday запланировал для своих клиентов реализации простой на выходные дни (обычно с вечера пятницы до утра субботы). В течение этого периода приложения подготовки Workday могут перейти в состояние карантина, так как не могут подключиться к Workday. Задание возвращается в нормальное состояние, как только клиент реализации Workday возвращается в сеть. В редких случаях эта ошибка может также появиться, если пароль пользователя системы интеграции был изменен из-за обновления клиента или если учетная запись заблокирована либо истек срок ее действия.	Обратитесь к администратору Workday или партнеру по интеграции, чтобы узнать, когда Workday планирует время простоя, чтобы игнорировать предупреждения в период простоя и подтвердить доступность после подключения экземпляра Workday.

Ошибки создания учетной записи пользователя AD

#	Сценарий ошибки	Возможные причины	Рекомендуемое решение
1.	Сбои операции экспорта в журнале аудита с сообщением Error: OperationsError-SvcErr: произошла ошибка операции. Для службы каталогов не настроена превосходная ссылка. Поэтому служба каталогов не может выдавать ссылки на объекты за пределами этого леса.	Эта ошибка обычно появляется, если подразделение контейнера Active Directory установлено неправильно или есть проблемы с сопоставлением выражений, используемым для parentDistinguishedName.	Проверьте параметр подразделения контейнера Active Directory на наличие опечаток. Если вы используете атрибут parentDistinguishedName в сопоставлении атрибутов, убедитесь, что он всегда соответствует известному контейнеру в домене AD. Проверьте событие экспорта в журналах аудита, чтобы увидеть созданное значение.
2.	Ошибки операции экспорта в журнале аудита с кодом ошибки: SystemForCrossDomainIdentityManagementBadResponse и сообщение Error: ConstraintViolation-AtrErr: недопустимое значение в запросе. Значение атрибута не было в допустимом диапазоне значений. \nError Details: CONSTRAINT_ATT_TYPE - company.	Хотя эта ошибка относится только к атрибуту company, она может возникнуть и для других атрибутов, таких как CN. Эта ошибка появляется из-за принудительного ограничения схемы AD. По умолчанию такие атрибуты, как company и CN в AD, имеют верхний предел длины в 64 знака. Если длина значения из Workday превышает 64 знака, вы увидите это сообщение об ошибке.	Проверьте событие экспорта в журналах аудита, чтобы увидеть значение атрибута, указанное в сообщении об ошибке. Попробуйте обрезать значение, полученное из Workday, с помощью функции Mid, или изменить сопоставления на атрибут AD, который не имеет аналогичных ограничений длины.

Ошибки обновления учетной записи пользователя AD

В процессе обновления учетной записи пользователя AD служба подготовки считывает информацию из Workday и AD, запускает правила сопоставления атрибутов и определяет, нужно ли применить какое-либо изменение. Соответственно инициируется событие обновления. Если на каком-либо из этих шагов происходит сбой, он регистрируется в журналах аудита. В следующей таблице приведены сведения по устранению распространенных ошибок обновления.

#	Сценарий ошибки	Возможные причины	Рекомендуемое решение
1.	Сбой действия правила синхронизации в журнале аудита с сообщением EventName = EntrySynchronizationError и ErrorCode = EndpointUnavailable.	Эта ошибка отображается, если служба сопоставления не может получить данные профиля пользователя из Active Directory из-за ошибки обработки, обнаруженной локальным агентом подготовки.	Проверьте журналы средства просмотра событий агента подготовки на наличие ошибок, которые указывают на проблемы с операцией чтения (отфильтруйте по идентификатору события 2).
2.	Атрибут руководителя в AD не обновляется для определенных пользователей в AD.	Наиболее вероятная причина этой ошибки — использование правил области действия, где настроена область, в которую руководитель пользователя не входит. Вы также можете столкнуться с этой проблемой, если атрибут идентификатора сопоставления руководителя (например, EmployeeID) не найден в целевом домене AD или имеет неверное значение.	Просмотрите фильтр области действия и добавьте руководителя в нужную область. Проверьте профиль руководителя в AD, чтобы убедиться в наличии значения для атрибута идентификатора сопоставления.

Управление конфигурацией

В этом разделе описывается, как вы можете дополнительно расширять и настраивать вашу конфигурацию подготовки пользователей на основе Workday, а также управлять ею. В нем рассматриваются следующие темы:

• Настройка списка атрибутов пользователя Workday
• Экспорт и импорт конфигурации

Настройка списка атрибутов пользователя Workday

Приложения подготовки Workday для Active Directory и Идентификатора Microsoft Entra содержат список атрибутов пользователей Workday по умолчанию, которые можно выбрать. Но эти списки не являются исчерпывающими. Приложение Workday поддерживает сотни пользовательских атрибутов, которые могут быть стандартными или уникальными для клиента Workday.

Служба подготовки Microsoft Entra поддерживает возможность настройки списка или атрибута Workday для включения всех атрибутов, предоставляемых в Get_Workers операции API кадров.

Для этого необходимо использовать Workday Studio для извлечения выражений XPath, представляющих атрибуты, которые вы хотите использовать, а затем добавить их в конфигурацию подготовки с помощью расширенного редактора атрибутов.

Чтобы получить выражение XPath для атрибута пользователя Workday, сделайте следующее:

1. Скачайте и установите Workday Studio. Вам потребуется учетная запись сообщества Workday для доступа к установщику.

2. Загрузите WSDL-файл Workday Human_Resources, подходящий для версии API WWS, которую вы планируете использовать из каталога веб-служб Workday.

3. Запустите Workday Studio.

4. На панели команд выберите Workday > Test Web Service in Tester (Workday > Тестировать веб-службу в тестере).

5. Щелкните External (Внешний) и выберите WSDL-файл Human_Resources, скачанный на шаге 2.

   

6. Задайте для поля Location (Расположение) значение https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources. Замените значение IMPL-CC фактическим типом экземпляра и значение TENANT (Клиент) реальным именем клиента.

7. Задайте для параметра Operation значение Get_Workers.

8. Щелкните ссылку configure (Настроить) под областями Request/Response (Запрос/Ответ), чтобы задать учетные данные Workday. Установите флажок Authentication (Аутентификация), а затем введите имя пользователя и пароль учетной записи системы интеграции Workday. Убедитесь, что имя пользователя отформатировано как "имя@клиент", и оставьте флажок возле параметра WS-Security UsernameToken.

9. Нажмите ОК.

10. В области Запрос вставьте XML-код, указанный ниже. Задайте для параметра Employee_ID идентификатор сотрудника реального пользователя в клиенте Workday. Задайте для параметра wd:version версию WWS, которую вы планируете использовать. Выберите пользователя, у которого заполнен атрибут, который вы хотите извлечь.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    

11. Нажмите кнопку Send Request (Отправить запрос) (с зеленой стрелкой), чтобы выполнить команду. Если команда выполнена успешно, ответ должен отображаться в области Response (Ответ). Убедитесь, что ответ содержит данные идентификатора пользователя, которые вы ввели, и не содержит ошибок.

12. Если команда выполнена успешно, скопируйте XML-код из области Response (Ответ) и сохраните его как XML-файл.

13. В командной строке Workday Studio последовательно выберите File > Open File (Файл > Открыть файл) и откройте только что сохраненный XML-файл. После этого в редакторе XML Workday Studio откроется файл.

    

14. В дереве файлов перейдите к файлу /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker, чтобы найти данные пользователя.

15. В разделе wd:Worker найдите атрибут, который нужно добавить, и выберите его.

16. Скопируйте выражение XPath для выбранного атрибута из поля Document Path (Путь к документу).

17. Удалите префикс /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ из скопированного выражения.

18. Если последний элемент в скопированном выражении является узлом (например, /wd:Birth_Date), добавьте /text() в конец выражения. Это можно не делать, если последний элемент является атрибутом (например, "/@wd: type").

19. Результат должен выглядеть приблизительно так: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Это значение нужно скопировать на портал Azure.

Чтобы добавить настраиваемый атрибут пользователя Workday в конфигурацию подготовки, сделайте следующее:

1. Откройте портал Azure и перейдите к разделу "Подготовка" приложения подготовки Workday, как описано ранее в этом руководстве.

2. Задайте для параметра Состояние подготовки значение Выкл. и нажмите кнопку Сохранить. После этих действий внесенные вами изменения вступят в силу, только когда вы закончите процедуру.

3. В разделе "Сопоставления" выберите "Синхронизация рабочих ролей Workday" в Локальную службу Active Directory (или синхронизация рабочих ролей Workday с идентификатором Microsoft Entra).

4. Прокрутите вниз до следующего экрана и выберите Показать расширенные параметры.

5. Выберите ссылку Изменить список атрибутов для Workday.

   

6. Прокрутите страницу вниз до списка атрибутов, где находятся поля для заполнения.

7. В поле Имя введите отображаемое имя для атрибута.

8. В поле Тип выберите тип, соответствующий атрибуту (чаще всего это строка).

9. В поле Выражение API введите выражение XPath, скопированное из Workday Studio. Пример: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

10. Нажмите кнопку Добавить атрибут.

    

11. Нажмите кнопку Сохранить выше, а затем — Да в диалоговом окне. Закройте экран сопоставления атрибутов, если он еще открыт.

12. Вернитесь на главную вкладку "Подготовка" , снова выберите "Синхронизировать рабочие роли Workday" в Локальную службу Active Directory (или синхронизировать рабочие роли с идентификатором Microsoft Entra ID).

13. Выберите Добавить новое сопоставление.

14. Новый атрибут должен появиться в Атрибут источника.

15. В случае необходимости добавьте сопоставление для нового атрибута.

16. В конце не забудьте задать для параметра Состояние подготовки значение Вкл. и сохранить это изменение.

Экспорт и импорт конфигурации

См. статью Экспорт и импорт конфигурации подготовки

Управление персональными данными

Для решения подготовки Workday для Active Directory требуется, чтобы агент подготовки был установлен на локальном сервере Windows. Этот агент создает журналы в журнале событий Windows, который может содержать персональные данные в зависимости от сопоставления атрибутов Workday и AD. Чтобы обеспечить соблюдение обязательств по обеспечению конфиденциальности пользователей, можно настроить так, чтобы никакие данные не хранились в журналах событий более 48 часов, создав запланированную задачу Windows для очистки журнала событий.

Служба подготовки Microsoft Entra входит в категорию обработчика данных классификации GDPR. В качестве конвейера обработчика данных Azure AD Connect Health предоставляет службы обработки данных ключевым партнерам и пользователям. Служба подготовки Microsoft Entra не создает пользовательские данные и не контролирует сбор персональных данных и способ его использования. Получение данных, агрегирование, анализ и отчеты в службе подготовки Microsoft Entra основаны на существующих корпоративных данных.

Примечание.

Дополнительные сведения о просмотре и удалении персональных данных см. в руководстве Майкрософт на сайте Запросы субъектов данных, определенные в GDPR, в отношении Windows. Общие сведения о GDPR см. в разделе GDPR Центра управления безопасностью Майкрософт и в разделе GDPR на портале Service Trust Portal.

В отношении хранения данных служба подготовки Microsoft Entra не создает отчеты, выполняет аналитику или предоставляет аналитические сведения за 30 дней. Поэтому служба подготовки Microsoft Entra не хранит, обрабатывает или сохраняет данные за 30 дней. Эта конструкция соответствует нормативным требованиям GDPR, нормативным требованиям майкрософт по обеспечению конфиденциальности и политикам хранения данных Microsoft Entra.

Следующие шаги

• Дополнительные сведения о сценариях интеграции и вызовах веб-служб Microsoft Entra ID и Workday
• Сведения о просмотре журналов и получении отчетов о действиях по подготовке
• Узнайте, как настроить единый вход между Workday и идентификатором Microsoft Entra
• Сведения о настройке обратной записи Workday
• Сведения об использовании API Microsoft Graph для управления конфигурациями подготовки