Поделиться через


Управление синхронизированными локальными пользователями с помощью рабочих процессов жизненного цикла

Рабочие процессы жизненного цикла поддерживают управление жизненным циклом удостоверений для учетных записей пользователей, синхронизированных с локальная служба Active Directory доменных служб (AD-DS) с Microsoft Entra. Для рабочих процессов жизненного цикла важно, чтобы учетная запись пользователя существовала в Microsoft Entra, но как была создана учетная запись или как изменения жизненного цикла вносятся в учетную запись, играет дополнительную роль при обработке рабочих процессов и связанных задач для учетной записи пользователя. Поддержка включает учетные записи и изменения, внесенные через пути, такие как подготовка на основе кадров, API Microsoft Graph, портал Microsoft Entra Администратор, а также изменения, синхронизированные Microsoft Entra Подключение и MicrosoftCloud Sync.

В этой статье вы узнаете, что необходимо учитывать, если вы хотите использовать рабочие процессы жизненного цикла для учетных записей пользователей, синхронизированных с локальная служба Active Directory доменных служб (AD-DS) с Microsoft Entra, называемой "синхронизированными локальными пользователями".

Условия выполнения рабочего процесса с синхронизированными локальными пользователями

Рабочие процессы жизненного цикла обрабатываются для учетных записей пользователей при выполнении рабочих процессов. Условия выполнения состоят из триггера и область. Триггер описывает событие, возникающее для учетной записи пользователя. Область позволяет дополнительно определить, для кого запускается рабочий процесс при возникновении события.

Триггеры рабочего процесса

В следующей таблице показано, что следует учитывать для каждого триггера рабочего процесса при использовании с синхронизированными локальными пользователями:

Триггер рабочего процесса Требования
Изменения атрибутов (предварительная версия) Дополнительная конфигурация не требуется, пока атрибуты синхронизированы. Сведения о синхронизированных атрибутах см. в статье "Сопоставление атрибутов" в Microsoft Entra Cloud Sync и Microsoft Entra Подключение Sync: расширения каталогов. При внесении изменений в локальная служба Active Directory синхронизация с помощью Microsoft Entra Cloud Sync или Microsoft Entra Подключение Sync должна возникать, прежде чем изменения можно будет забрать из рабочих процессов жизненного цикла.
Членство в группах (предварительная версия) Так как поддерживается любая группа, дополнительная конфигурация не требуется. Если группа создается из локальная служба Active Directory, ее необходимо синхронизировать с Microsoft Entra. Синхронизация Microsoft Entra Cloud Sync или Microsoft Entra Подключение Sync должна произойти, прежде чем изменения можно будет забрать из рабочих процессов жизненного цикла.
По требованию Дополнительная конфигурация не требуется.
Время на основе employeeHireDate, employeeLeaveDateTime: перед использованием эти атрибуты необходимо синхронизировать. Дополнительные сведения об этом процессе см. в разделе "Синхронизация атрибутов для рабочих процессов жизненного цикла".

createdDateTime: нет дополнительных требований. Эта дата — это день, когда учетная запись пользователя синхронизируется с идентификатором Microsoft Entra, а не когда они были созданы в Active Directory.

Области рабочего процесса

Для атрибутов пользователей, используемых в возможностях области рабочего процесса, дополнительная конфигурация не требуется, если выбранные атрибуты уже синхронизированы. Сведения о синхронизированных атрибутах см. в статье "Сопоставление атрибутов" в Microsoft Entra Cloud Sync и Microsoft Entra Подключение Sync: расширения каталогов. При внесении изменений в локальная служба Active Directory синхронизация с помощью Microsoft Entra Cloud Sync или Microsoft Entra Подключение Sync должна возникать, прежде чем изменения можно будет забрать из рабочих процессов жизненного цикла.

Задачи рабочего процесса и синхронизированные локальные возможности

Все задачи рабочего процесса жизненного цикла работают как для облака, так и для локальной синхронизации, пользователи из поля, за исключением ограничений, перечисленных в конкретных задачах в этой статье. Дополнительные сведения обо всех задачах рабочего процесса жизненного цикла см. в статье "Встроенный рабочий процесс жизненного цикла".

Задачи для управления членством в группах

Задачи рабочих процессов жизненного цикла для управления членством в группах нельзя использовать для групп, синхронизированных с локальная служба Active Directory с Microsoft Entra. Однако Управление идентификацией Microsoft Entra можно использовать для управления доступом приложений локальная служба Active Directory (Kerberos) с группами из облака, которые поддерживаются в рабочих процессах жизненного цикла.

Задачи учетной записи пользователя (предварительная версия)

Дополнительная конфигурация необходима для задач рабочего процесса жизненного цикла для включения, отключения и удаления учетных записей пользователей для работы с синхронизированными локальными пользователями. Прежде чем настроить задачи для выполнения действий в локальная служба Active Directory, необходимо выполнить следующие предварительные требования.

  • В вашей среде должен быть установлен агент подготовки Microsoft Entra. Предварительные требования для установки агента подготовки Microsoft Entra см. в разделе " Требования к агенту подготовки облака". Пошаговое руководство по установке агента подготовки Microsoft Entra см. в статье "Установка агента подготовки Microsoft Entra". Во время установки выберите "Подготовка на основе кадров / Microsoft Entra Подключение Sync" в качестве конфигурации расширения. Вам не требуется добавить другую конфигурацию для агента подготовки, например конфигурацию облачной синхронизации, и вы можете установить агент подготовки, даже если вы также используете Microsoft Entra Подключение Sync для синхронизации пользователей.

Примечание.

Установленный агент подготовки должен иметь по крайней мере версию 1.1.1586.0, которая была выпущена 13 мая 2024 г.

  • Убедитесь, что у управляемой группы учетной записи службы (gMSA), используемой агентом подготовки, есть соответствующие разрешения для выполнения операций с учетными записями пользователей.

  • Чтобы удалить учетные записи пользователей, необходимо включить корзину Active Directory. Пошаговое руководство по включению корзины в Active Directory см . в пошаговом руководстве по включению корзины Active Directory.

Пошаговое руководство по настройке флага, чтобы задачи учетной записи пользователя выполнялись для синхронизированных локальных пользователей, см. в статье "Управление синхронизированными локальными пользователями с помощью рабочих процессов (предварительная версия)".

Следующие шаги