Hantera synkroniserade lokala användare med livscykelarbetsflöden
Arbetsflöden för livscykel stöder styrning av identitetslivscykeln för användarkonton som synkroniseras från lokal Active Directory Domain Services (AD-DS) till Microsoft Entra. För arbetsflöden för livscykel är det viktigt att det finns ett användarkonto i Microsoft Entra, men hur kontot skapades eller hur livscykel relevanta ändringar görs i kontot spelar en mindre roll när det gäller bearbetning av arbetsflöden och associerade uppgifter för användarkontot. Stödet omfattar konton och ändringar som görs via sökvägar som HR-driven etablering, Microsoft Graph-API:er, Microsoft Entra-administratörsportalen samt ändringar som synkroniserats av Microsoft Entra Anslut och MicrosoftCloud Sync.
I den här artikeln får du lära dig vad som behöver beaktas om du vill använda livscykelarbetsflöden för användarkonton som synkroniseras från lokal Active Directory Domain Services (AD-DS) till Microsoft Entra, som kallas "synkroniserade lokala användare".
Villkor för arbetsflödeskörning med synkroniserade lokala användare
Livscykelarbetsflöden bearbetas för användarkonton när de uppfyller arbetsflödenas körningsvillkor. Körningsvillkor består av en utlösare och ett omfång. Utlösaren beskriver händelsen som inträffar för ett användarkonto. Med omfånget kan du ytterligare definiera för vem arbetsflödet startar när händelsen inträffar.
Arbetsflödesutlösare
I följande tabell visas vad som bör beaktas för varje arbetsflödesutlösare när det används med synkroniserade lokala användare:
| Arbetsflödesutlösare | Krav |
|---|---|
| Attributändringar (förhandsversion) | Ingen ytterligare konfiguration krävs så länge attributen synkroniseras. Information om synkroniserade attribut finns i: Attributmappning i Microsoft Entra Cloud Sync och Microsoft Entra Anslut Sync: Katalogtillägg. När en ändring görs i lokal Active Directory måste synkroniseringen via Microsoft Entra Cloud Sync eller Microsoft Entra Anslut Sync ske innan ändringar kan hämtas från livscykelarbetsflöden. |
| Gruppmedlemskap baserat (förhandsversion) | Eftersom alla typer av grupper stöds krävs ingen ytterligare konfiguration. Om gruppen kommer från lokal Active Directory måste den synkroniseras med Microsoft Entra. Microsoft Entra Cloud Sync eller Microsoft Entra Anslut Sync, synkronisering måste ske innan ändringar kan hämtas från livscykelarbetsflöden. |
| På begäran | Ingen ytterligare konfiguration krävs. |
| Tidsbaserad | employeeHireDate, employeeLeaveDateTime: Dessa attribut måste synkroniseras innan de används. Mer information om den här processen finns i: Synkronisera attribut för livscykelarbetsflöden. createdDateTime: Inga ytterligare krav behövs. Det här datumet är den dag då användarkontot synkroniseras med Microsoft Entra-ID, inte när de skapades i Active Directory. |
Arbetsflödesomfång
För användarattribut som används i arbetsflödets omfångsfunktioner behövs ingen ytterligare konfiguration om de valda attributen redan är synkroniserade. Information om synkroniserade attribut finns i: Attributmappning i Microsoft Entra Cloud Sync och Microsoft Entra Anslut Sync: Katalogtillägg. När en ändring görs i lokal Active Directory måste synkroniseringen via Microsoft Entra Cloud Sync eller Microsoft Entra Anslut Sync ske innan ändringar kan hämtas från livscykelarbetsflöden.
Arbetsflödesuppgifter och synkroniserade lokala funktioner
Alla arbetsflödesuppgifter för livscykeln fungerar för både molnet och synkroniserade lokalt, användare direkt, förutom begränsningar som anges för specifika uppgifter ytterligare i den här artikeln. Mer information om alla arbetsflödesuppgifter för livscykel finns i: Inbyggda uppgifter i arbetsflödet för livscykel.
Uppgifter för att styra gruppmedlemskap
Uppgifter för livscykelarbetsflöden för att styra gruppmedlemskap kan inte användas för grupper som synkroniseras från lokal Active Directory till Microsoft Entra. Microsoft Entra ID-styrning kan dock användas för att styra lokal Active Directory programåtkomst (Kerberos) med grupper från molnet, som stöds i livscykelarbetsflöden.
Användarkontouppgifter (förhandsversion)
Ytterligare konfiguration krävs för arbetsflödesuppgifterna för livscykeln för att aktivera, inaktivera och ta bort användarkonton så att de fungerar med synkroniserade lokala användare. Följande krav måste slutföras innan du kan konfigurera uppgifterna för att utföra åtgärder i lokal Active Directory.
- Du måste ha Microsoft Entra-etableringsagenten installerad i din miljö. Krav för att installera Microsoft Entra-etableringsagenten finns i: Krav för molnetableringsagent. En stegvis guide om hur du installerar Microsoft Entra-etableringsagenten finns i: Installera Microsoft Entra-etableringsagenten. Under installationen väljer du "HR-driven etablering/Microsoft Entra Anslut Sync" som "tilläggskonfiguration". Du behöver inte lägga till någon annan konfiguration för etableringsagenten, till exempel molnsynkroniseringskonfigurationen, och du kan installera etableringsagenten även om du även använder Microsoft Entra Anslut Sync för din användarsynkronisering.
Kommentar
Etableringsagenten måste vara minst version 1.1.1586.0, som släpptes den 13 maj 2024.
Kontrollera att det grupphanterade tjänstkonto (gMSA) som används av etableringsagenten har rätt behörighet att utföra åtgärder på användarkonton.
Om du vill ta bort användarkonton måste du aktivera Papperskorgen för Active Directory. En stegvis guide om hur du aktiverar papperskorgen finns i: Active Directory Papperskorg steg för steg.
En stegvis guide om hur du anger flaggan så att användarkontouppgifter körs för synkroniserade lokala användare finns i: Hantera synkroniserade lokala användare med arbetsflöden (förhandsversion).
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för