Подготовка учетных записей пользователей для руководств по рабочим процессам жизненного цикла

Для инструкций по введению в должность и освобождению от обязанностей требуются учетные записи, для которых выполняются рабочие процессы. Этот раздел поможет подготовить эти учетные записи, если у вас уже есть тестовые учетные записи, соответствующие следующим требованиям, вы можете перейти непосредственно к руководствам по подключению и отключению. Для выполнения вводных инструкций в руководстве по подключению требуются две отдельные учетные записи: одна для нанимаемого сотрудника, и другая для учетной записи, которая действует от имени руководителя нанимаемого сотрудника. Учетная запись нанимаемого сотрудника должна иметь следующие атрибуты:

• для атрибута employeeHireDate должна быть установлена сегодняшняя дата;
• для атрибута department должен быть установлен отдел продаж (sales);
• должен быть задан атрибут manager, а у учетной записи руководителя должен быть почтовый ящик для получения электронной почты.

Инструкции по отключению требуют только одну учетную запись с членством в группах и Teams, но учетная запись удаляется в ходе выполнения инструкции.

Предварительные условия

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, ознакомьтесь с основами лицензирования управления идентификаторами Microsoft Entra ID.

• Клиент Microsoft Entra
• Учетная запись администратора с соответствующими разрешениями для клиента Microsoft Entra. Эта учетная запись используется для создания пользователей и рабочих процессов.

Перед началом

В большинстве случаев пользователи будут зарегистрированы в Microsoft Entra ID на основе локального решения (например, Microsoft Entra Connect или облачной синхронизации) или с помощью решения для управления персоналом. У этих пользователей есть атрибуты и значения, заполненные во время создания. Настройка инфраструктуры для подготовки пользователей выходит за рамки этого руководства. Дополнительные сведения см. в Руководстве: Базовая среда Active Directory и Руководстве: Интеграция одного леса с одним клиентом Microsoft Entra.

Создание пользователей в идентификаторе Microsoft Entra

Мы используем Graph Explorer для быстрого создания двух пользователей, необходимых для выполнения рабочих процессов жизненного цикла в руководствах. Один пользователь представляет нового сотрудника, а второй — руководителя нового сотрудника.

Необходимо изменить POST и заменить <ваше имя арендатора здесь> на имя вашего арендатора. Например: $UPN_manager = "bsimon@<имя арендатора>" до $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Примечание.

Учтите, что рабочий процесс не будет запускаться, если дата найма сотрудника (число дней с момента события) раньше даты создания рабочего процесса. Для атрибута employeeHiredate должно быть предусмотрено значение в будущем на этапе проектирования. Даты, используемые в этом руководстве, соответствуют фиксированному моменту времени. Таким образом, нужно изменить эти даты соответствующим образом.

Сначала мы создадим нашего сотрудника, Мелву Принс.

1. Теперь перейдите в обозреватель Graph.
2. Войдите в Graph Explorer с учетной записью администратора пользователя для вашего клиента.
3. Вверху измените GET на POST и добавьте https://graph.microsoft.com/v1.0/users/ в поле.
4. Скопируйте следующий код в текст запроса
5. Замените <your tenant here> в следующем коде значением клиента Microsoft Entra.
6. Выбор запроса запуска
7. Скопируйте идентификатор, который будет возвращен в результатах. Это используется позже для назначения руководителя.

{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Затем мы создадим Britta Simon. Эта учетная запись используется как управляющая.

1. По-прежнему в Graph Explorer.
2. Убедитесь, что верхняя часть по-прежнему имеет значение POST и https://graph.microsoft.com/v1.0/users/ находится в поле.
3. Скопируйте следующий код в текст запроса
4. Замените <your tenant here> в следующем коде значением клиента Microsoft Entra.
5. Выбор запроса запуска
6. Скопируйте идентификатор, который будет возвращен в результатах. Этот идентификатор используется позже для назначения диспетчера.

   {
     "accountEnabled": true,
     "displayName": "Britta Simon",
     "mailNickname": "bsimon",
     "department": "sales",
     "mail": "bsimon@<your tenant name here>",
     "employeeHireDate": "2021-01-15T22:10:00Z",
     "userPrincipalName": "bsimon@<your tenant name here>",
     "passwordProfile" : {
       "forceChangePasswordNextSignIn": true,
       "password": "<Generated Password>"
     }
   }
   

Примечание.

Необходимо изменить <имя клиента в этом> разделе кода, чтобы он соответствовал клиенту Microsoft Entra.

В качестве альтернативы следующий скрипт PowerShell также можно использовать для быстрого создания двух пользователей, необходимых для выполнения рабочего процесса жизненного цикла. Один пользователь представляет нового сотрудника, а второй — руководителя нового сотрудника.

Внимание

Следующий скрипт PowerShell позволяет быстро создать двух пользователей, необходимых для работы с этим руководством. Эти пользователи также могут быть созданы в Центре администрирования Microsoft Entra.

Чтобы создать этот шаг, сохраните следующий скрипт PowerShell в расположении на компьютере с доступом к Azure.

Затем вам нужно изменить скрипт и заменить фрагмент <имя арендатора> на имя вашего арендатора. Например: $UPN_manager = "bsimon@<имя арендатора>" до $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Это действие необходимо выполнить как для $UPN_employee, так и для $UPN_manager.

После редактирования скрипта сохраните его и выполните следующие действия:

1. Откройте командную строку Windows PowerShell с правами администратора на компьютере с доступом к Центру администрирования Microsoft Entra.
2. Перейдите в папку, где сохранен скрипт PowerShell, и запустите его.
3. Если при установке модуля PowerShell появится запрос, выберите "Да для всех".
4. При появлении запроса войдите в Центр администрирования Microsoft Entra с помощью глобального администратора клиента.

#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name Microsoft.Graph
Connect-MgGraph -Confirm

$PasswordProfile = @{
  Password = "$Password_manager"
  }

New-MgUser -DisplayName $Displayname_manager -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department

$PasswordProfile = @{
  Password = "$Password_employee"
  }

New-MgUser -DisplayName $Displayname_employee -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

После успешного создания пользователя или пользователей в Microsoft Entra ID, можно перейти к руководствам по рабочему процессу жизненного цикла для его создания.

Другие шаги для предварительного сценария

При тестировании руководства по включению пользователей в вашу организацию с использованием рабочих процессов жизненного цикла через Центр администрирования Microsoft Entra или по включению пользователей в вашу организацию с использованием рабочих процессов жизненного цикла через Microsoft Graph следует учитывать некоторые другие шаги.

Изменение атрибутов пользователей с помощью Центра администрирования Microsoft Entra

Некоторые атрибуты, необходимые для вводного курса для новых сотрудников, доступны в Центре администрирования Microsoft Entra и могут быть установлены там.

Эти атрибуты:

Атрибут	Описание	Включите
почта	Используется для уведомления руководителя о временном секретном коде для новых сотрудников.	Менеджер
менеджер	Этот атрибут используется в рабочем процессе жизненного цикла.	Сотрудник

В этом руководстве атрибут почты должен быть установлен в учетной записи руководителя, а атрибут руководитель — в учетной записи сотрудника. Выполните указанные ниже действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
2. Перейдите к >Entra ID>Пользователи.
3. Выберите Мелва Принц.
4. В верхней части нажмите кнопку "Изменить".
5. Под "Менеджер" выберите Изменить и выберите Britta Simon.
6. В верхней части нажмите кнопку "Сохранить".
7. Вернитесь к пользователям и выберите Britta Simon.
8. В верхней части нажмите кнопку "Изменить".
9. В разделе "Электронная почта" введите допустимый адрес электронной почты.
10. Нажмите кнопку "Сохранить".

Изменение атрибута employeeHireDate

Атрибут employeeHireDate является новым для идентификатора Microsoft Entra. Он недоступен в пользовательском интерфейсе и должен обновляться с помощью Graph. Для редактирования этого атрибута можно использовать обозреватель Graph.

Примечание.

Учтите, что рабочий процесс не будет запускаться, если дата найма сотрудника (число дней с момента события) раньше даты создания рабочего процесса. Необходимо задать employeeHireDate на будущее по задумке. Даты, используемые в этом руководстве, соответствуют фиксированному моменту времени. Таким образом, нужно изменить эти даты соответствующим образом.

Для этого необходимо получить идентификатор объекта для нашего пользователя Melva Prince.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

2. Перейдите к >Entra ID>Пользователи.

3. Выберите Мелва Принц.

4. Выберите знак копирования рядом с идентификатором объекта.

5. Теперь перейдите в обозреватель Graph.

6. Войдите в Graph Explorer с учетной записью глобального администратора для клиента.

7. Вверху измените GET на PATCH и добавьте https://graph.microsoft.com/v1.0/users/<id> в поле. Замените <id> значением, скопированным ранее.

8. Скопируйте следующий текст в текст запроса и выберите "Выполнить запрос"

   {
   "employeeHireDate": "2022-04-15T22:10:00Z"
   }
   

   

9. Проверьте изменение, изменив PATCH обратно на GET и 1.0 на бета-версию. Выберите "Выполнить запрос". Вы должны увидеть набор атрибутов Melva.
   

Изменение атрибута руководителя в учетной записи сотрудника

Атрибут руководителя используется задачами уведомления по электронной почте. Он отправляет руководителю временный пароль для нового сотрудника. Выполните следующие действия, чтобы атрибут 'менеджер' у пользователей Microsoft Entra был заполнен.

1. По-прежнему в Graph Explorer.

2. Убедитесь, что верхняя часть по-прежнему имеет значение PUT и https://graph.microsoft.com/v1.0/users/<id>/manager/$ref находится в поле. Замените <id> идентификатором пользователя Melva Prince.

3. Скопируйте следующий код в текст запроса

4. Замените <managerid> в следующем коде значением идентификатора Britta Simons.

5. Выбор запроса запуска

   {
     "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
   }
   

   

6. Теперь мы можем убедиться, что диспетчер настроен правильно, изменив PUT на GET.

7. В поле должно быть указано значение https://graph.microsoft.com/v1.0/users/<id>/manager/. <id> по-прежнему принадлежит Мелве Принс.

8. Выберите "Выполнить запрос". В ответе должен отобразиться пользователь Britta Simon.

   

Дополнительные сведения об обновлении информации о руководителе для пользователя в Graph API см. в документации назначение руководителя. Этот атрибут также можно задать в Центре администрирования Azure. Дополнительные сведения см. в разделе о добавлении или изменении сведений профиля.

Включение временного пропуска доступа (TAP)

Временный секретный код выдается администратором, имеет ограниченный срок действия и удовлетворяет требованиям к строгой проверке подлинности.

В этом сценарии мы используем эту функцию идентификатора Microsoft Entra для создания временного прохода доступа для нового сотрудника. Он отправлен руководителю сотрудника.

Чтобы использовать эту функцию, ее необходимо включить в клиенте Microsoft Entra. Чтобы включить эту функцию, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в роли как минимум Администратора политики проверки подлинности.
2. Перейдите к Entra ID>методам проверки подлинности>временный пропуск доступа
3. Выберите "Да" , чтобы включить политику и добавить пользователя Britta Simon и выбрать, какие пользователи применяют политику, и все общие параметры.

Учет сценария об уходе

Существует дополнительный шаг, который нужно учитывать при тестировании инструкций по отчислению пользователей из вашей организации с помощью рабочих процессов жизненного цикла в Центре администрирования Microsoft Entra или с помощью Microsoft Graph.

Настройте пользователя с группами и Teams, включая членство в команде.

Пользователь с членствами в группах и Teams требуется перед началом работы с уроками для сценария ухода.

Следующие шаги

• Подключение пользователей к организации с помощью рабочих процессов жизненного цикла с центром администрирования Microsoft Entra
• Включение пользователей в вашу организацию с помощью рабочих процессов жизненного цикла через Microsoft Graph
• Руководство по отключению пользователей из организации с помощью рабочих процессов жизненного цикла с центром администрирования Microsoft Entra
• Руководство: Выход пользователей из вашей организации с помощью рабочих процессов жизненного цикла в Microsoft Graph