Поделиться через


Подготовка учетных записей пользователей для руководств по рабочим процессам жизненного цикла

Для подключения и выключения учебников требуются учетные записи, для которых выполняются рабочие процессы. Этот раздел поможет подготовить эти учетные записи, если у вас уже есть тестовые учетные записи, соответствующие следующим требованиям, вы можете перейти непосредственно к руководствам по подключению и отключению. Для выполнения инструкций в руководстве по подключению требуются две учетные записи: нанимаемого сотрудника и руководителя. Учетная запись нанимаемого сотрудника должна иметь следующие атрибуты:

  • для атрибута employeeHireDate должна быть установлена сегодняшняя дата;
  • для атрибута department должен быть установлен отдел продаж (sales);
  • должен быть задан атрибут manager, а у учетной записи руководителя должен быть почтовый ящик для получения электронной почты.

В руководствах по отключению требуется только одна учетная запись с членством в группах и Teams, но учетная запись удаляется во время руководства.

Необходимые компоненты

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.

  • Клиент Microsoft Entra
  • Учетная запись администратора с соответствующими разрешениями для клиента Microsoft Entra. Эта учетная запись используется для создания пользователей и рабочих процессов.

Подготовка к работе

В большинстве случаев пользователи будут подготовлены к идентификатору Microsoft Entra ID либо из локального решения (например, Microsoft Entra Connect или облачной синхронизации), либо с решением по управлению персоналом. У этих пользователей есть атрибуты и значения, заполненные во время создания. Настройка инфраструктуры для подготовки пользователей выходит за рамки этого руководства. Дополнительные сведения см. в руководстве по базовой среде Active Directory и учебнику. Интеграция одного леса с одним клиентом Microsoft Entra.

Создание пользователей в идентификаторе Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Мы используем Graph Explorer для быстрого создания двух пользователей, необходимых для выполнения рабочих процессов жизненного цикла в руководствах. Один пользователь представляет нового сотрудника, а второй — руководителя нового сотрудника.

Необходимо изменить POST и заменить <имя клиента здесь> на имя клиента. Например: $UPN_manager = "bsimon@<имя арендатора>" на $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Примечание.

Учтите, что рабочий процесс не будет запускаться, если дата найма сотрудника (число дней с момента события) раньше даты создания рабочего процесса. Для атрибута employeeHiredate должно быть предусмотрено значение в будущем на этапе проектирования. Даты, используемые в этом руководстве, соответствуют моментальному снимку во времени. Таким образом, нужно изменить эти даты соответствующим образом.

Сначала мы создадим нашего сотрудника, Мелва Принца.

  1. Перейдите в песочницу Graph.
  2. Войдите в Graph Explorer с учетной записью администратора пользователя для вашего клиента.
  3. Вверху измените GET на POST и добавьте https://graph.microsoft.com/v1.0/users/ в поле.
  4. Скопируйте следующий код в текст запроса
  5. Замените <your tenant here> в следующем коде значением клиента Microsoft Entra.
  6. Выберите Выполнить запрос.
  7. Скопируйте идентификатор, который будет возвращен в результатах. Это используется позже для назначения руководителя.
{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Снимок экрана: запрос POST для создания пользователя Melva в песочнице Graph.

Затем мы создадим Britta Simon. Эта учетная запись используется в качестве руководителя.

  1. Оставайтесь в песочнице Graph.
  2. Убедитесь, что вверху по-прежнему выбрано POST, а в поле указано значение https://graph.microsoft.com/v1.0/users/.
  3. Скопируйте следующий код в текст запроса
  4. Замените <your tenant here> в следующем коде значением клиента Microsoft Entra.
  5. Выберите Выполнить запрос.
  6. Скопируйте идентификатор, который будет возвращен в результатах. Этот идентификатор используется позже для назначения диспетчера.
    {
      "accountEnabled": true,
      "displayName": "Britta Simon",
      "mailNickname": "bsimon",
      "department": "sales",
      "mail": "bsimon@<your tenant name here>",
      "employeeHireDate": "2021-01-15T22:10:00Z",
      "userPrincipalName": "bsimon@<your tenant name here>",
      "passwordProfile" : {
        "forceChangePasswordNextSignIn": true,
        "password": "<Generated Password>"
      }
    }
    

Примечание.

Необходимо изменить <имя клиента в этом> разделе кода, чтобы он соответствовал клиенту Microsoft Entra.

В качестве альтернативы следующий скрипт PowerShell также можно использовать для быстрого создания двух пользователей, необходимых для выполнения рабочего процесса жизненного цикла. Один пользователь представляет нового сотрудника, а второй — руководителя нового сотрудника.

Внимание

Следующий скрипт PowerShell позволяет быстро создать двух пользователей, необходимых для работы с этим руководством. Эти пользователи также могут быть созданы в Центре администрирования Microsoft Entra.

Чтобы создать этот шаг, сохраните следующий скрипт PowerShell в расположении на компьютере с доступом к Azure.

Затем измените скрипте фрагмент <имя арендатора> на имя своего арендатора. Например: $UPN_manager = "bsimon@<имя арендатора>" на $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Это действие необходимо выполнить как для $UPN_employee, так и для $UPN_manager.

После редактирования скрипта сохраните его и выполните следующие действия:

  1. Откройте командную строку Windows PowerShell с правами администратора на компьютере с доступом к Центру администрирования Microsoft Entra.
  2. Перейдите в папку, где сохранен скрипт PowerShell, и запустите его.
  3. Если при установке модуля PowerShell появится запрос "Да".
  4. При появлении запроса войдите в Центр администрирования Microsoft Entra с помощью глобального администратора клиента.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-MgGraph -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

После успешного создания пользователя или пользователей в идентификаторе Microsoft Entra можно перейти к учебникам по рабочему процессу жизненного цикла для создания рабочего процесса.

Другие шаги для предварительного сценария

При тестировании пользователей с подключением к организации с помощью рабочих процессов жизненного цикла с помощью руководства Центра администрирования Microsoft Entra или пользователей с подключением к организации с помощью рабочих процессов жизненного цикла с помощью учебника Microsoft Graph следует учитывать некоторые другие действия.

Изменение атрибутов пользователей с помощью Центра администрирования Microsoft Entra

Некоторые атрибуты, необходимые для предварительного подключения руководства, предоставляются в Центре администрирования Microsoft Entra и могут быть установлены там.

Они перечислены ниже.

Атрибут Description Установите значение
mail Используется для уведомления руководителя о временном секретном коде для новых сотрудников. Manager
manager Этот атрибут используется рабочим процессом жизненного цикла. Код сотрудника

В этом руководстве атрибут почты mail требуется задать только в учетной записи руководителя, а атрибут руководителя manager — только в учетной записи сотрудника. Выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
  2. Перейдите к >пользователям удостоверений>всех пользователей>.
  3. Выберите Melva Prince.
  4. В верхней части нажмите кнопку Изменить.
  5. В разделе руководителя нажмите Изменить и выберите Britta Simon.
  6. В верхней части выберите Сохранить.
  7. Вернитесь к пользователям и выберите Britta Simon.
  8. В верхней части нажмите кнопку Изменить.
  9. В разделе Электронная почта введите действительный адрес электронной почты.
  10. Выберите Сохранить.

Изменение атрибута employeeHireDate

Атрибут employeeHireDate является новым для идентификатора Microsoft Entra. Он недоступен в пользовательском интерфейсе и задается с помощью Graph. Для редактирования этого атрибута можно использовать песочницу Graph.

Примечание.

Учтите, что рабочий процесс не будет запускаться, если дата найма сотрудника (число дней с момента события) раньше даты создания рабочего процесса. Необходимо задать в employeeHireDate будущем по проектированию. Даты, используемые в этом руководстве, соответствуют моментальному снимку во времени. Таким образом, нужно изменить эти даты соответствующим образом.

Для этого необходимо получить идентификатор объекта для нашего пользователя Melva Prince.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

  2. Перейдите к >пользователям удостоверений>всех пользователей>.

  3. Выберите Melva Prince.

  4. Выберите знак копирования рядом с полем Идентификатор объекта.

  5. Перейдите в песочницу Graph.

  6. Войдите в Graph Explorer с учетной записью глобального администратора для клиента.

  7. Вверху измените GET на PATCH и добавьте https://graph.microsoft.com/v1.0/users/<id> в поле. Замените <id> значением, скопированным ранее.

  8. Скопируйте следующий код в поле Текст запроса и выберите Выполнить запрос.

    {
    "employeeHireDate": "2022-04-15T22:10:00Z"
    }
    

    Снимок экрана: запрос PATCH employeeHireDate.

  9. Проверьте изменение: снова замените PATCH на GET, а 1.0 — на beta. Выберите Запустить запрос. Вы увидите набор атрибутов Melva.
    Снимок экрана: запрос GET employeeHireDate.

Изменение атрибута руководителя в учетной записи сотрудника

Атрибут руководителя используется задачами уведомления по электронной почте. Он отправляет руководителю временный пароль для нового сотрудника. Выполните следующие действия, чтобы убедиться, что пользователи Microsoft Entra имеют значение для атрибута диспетчера.

  1. Оставайтесь в песочнице Graph.

  2. Убедитесь, что вверху по-прежнему выбрано PUT, а в поле указано значение https://graph.microsoft.com/v1.0/users/<id>/manager/$ref. Замените <id> идентификатором пользователя Melva Prince.

  3. Скопируйте следующий код в текст запроса

  4. Замените <managerid> в следующем коде значением идентификатора Britta Simons.

  5. Выберите Выполнить запрос.

    {
      "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
    }
    

    Снимок экрана: добавление менеджера в песочнице Graph.

  6. Теперь мы можем убедиться, что диспетчер настроен правильно, изменив PUT на GET.

  7. В поле должно быть указано значение https://graph.microsoft.com/v1.0/users/<id>/manager/. Для параметра <id> по-прежнему должно быть задано значение пользователя Melva Prince.

  8. Выберите Запустить запрос. В ответе должен отобразиться пользователь Britta Simon.

    Снимок экрана: получение данных руководителя в песочнице Graph.

Дополнительные сведения об обновлении данных руководителя для пользователя с помощью API Graph см. в документации по назначению руководителя. Этот атрибут также можно задать в Центре администрирования Azure. Дополнительные сведения см. в разделе о добавлении и изменении данных профиля.

Включение временного секретного кода (TAP)

Временный секретный код выдается администратором, имеет ограниченный срок действия и удовлетворяет требованиям к строгой проверке подлинности.

В этом сценарии мы используем эту функцию идентификатора Microsoft Entra для создания временного прохода доступа для нового сотрудника. Он отправлен руководителю сотрудника.

Чтобы использовать эту функцию, ее необходимо включить в клиенте Microsoft Entra. Чтобы включить эту функцию, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
  2. Переход к методам>проверки подлинности защиты>временный проход доступа
  3. Выберите Да, чтобы включить политику, добавьте пользователя Britta Simon, выберите пользователей, к которым политика будет применена, и настройте все общие параметры.

Рекомендации по сценарию выхода

Существует дополнительный шаг, который следует учитывать при тестировании учебников для пользователей вне платы из вашей организации с помощью рабочих процессов жизненного цикла с руководством Центра администрирования Microsoft Entra или с помощью Microsoft Graph.

Настройка членства пользователей в группах и Teams

Пользователь с группами и членством в Teams требуется перед началом работы с руководствами по сценарию выхода.

Следующие шаги