Självstudier för att förbereda användarkonton för livscykelarbetsflöden

För introduktions- och avslutningshandledningarna behöver du konton för vilka arbetsflödena genomförs. Det här avsnittet hjälper dig att förbereda dessa konton, om du redan har testkonton som uppfyller följande krav kan du gå direkt till självstudierna om ombordstigning och avstigning. Två konton krävs för introduktionshandledningarna, ett konto för den nya medarbetaren och ett annat konto som agerar som chef för den nya medarbetaren. Det nya anställningskontot måste ha följande attribut inställda:

• employeeHireDate måste anges till idag
• avdelningen måste inställas på försäljning
• manager-attributet måste anges och chefskontot ska ha en postlåda för att få ett e-postmeddelande

Handledningarna för offboarding kräver bara ett konto som har medlemskap i en grupp och i Teams, men kontot tas bort under handledningen.

Förutsättningar

För att kunna använda den här funktionen krävs Microsoft Entra ID-styrning eller Microsoft Entra Suite-licenser. Information om hur du hittar rätt licens för dina krav finns i Grunderna för Microsoft Entra ID-styrningslicensiering.

• En Microsoft Entra-klientorganisation
• Ett administratörskonto med lämpliga behörigheter för Microsoft Entra-klientorganisationen. Det här kontot används för att skapa våra användare och arbetsflöden.

Innan du börjar

I de flesta fall kommer användare att kopplas till Microsoft Entra ID antingen från en lokal lösning (till exempel Microsoft Entra Connect eller Cloud Sync) eller via en HR-lösning. Dessa användare har attributen och värdena ifyllda när de skapas. Att konfigurera infrastrukturen för att etablera användare ligger utanför omfånget för den här självstudien. Mer information finns i Självstudie: Grundläggande Active Directory-miljö och Självstudie: Integrera en enskild skog med en enda Microsoft Entra-klientorganisation.

Skapa användare i Microsoft Entra-ID

Vi använder Graph Explorer för att snabbt skapa två användare som behövs för att utföra livscykelarbetsflödena i handledningarna. En användare representerar vår nya medarbetare och den andra representerar den nya medarbetarens chef.

Du måste redigera POST-begäran och ersätta <klientens namn här> med namnet på din klient. Till exempel: $UPN_manager = "bsimon@<your tenant name here>" till $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Kommentar

Tänk på att ett arbetsflöde inte utlöses när anställningsdatumet för anställda (dagar från händelsen) infaller före arbetsflödets skapandedatum. Du måste ange ett anställningsdatum i framtiden avsiktligt. Datumen som används i den här handledningen är en ögonblicksbild av tiden. Därför bör du ändra datumen så att de passar för den här situationen.

Först skapar vi vår medarbetare Melva Prince.

1. Gå nu till Graph Explorer.
2. Logga in på Graph Explorer med kontot för användaradministratör för din organisation.
3. Överst ändrar du GET till POST och lägger till https://graph.microsoft.com/v1.0/users/ i rutan.
4. Kopiera följande kod till begärandetexten
5. Byt ut <your tenant here> i följande kod med värdet för din Microsoft Entra-klient.
6. Välj Kör fråga
7. Kopiera det ID som returneras i resultatet. Detta används senare för att tilldela en chef.

{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Sedan skapar vi Britta Simon. Det här kontot används som vår hanterare.

1. Fortfarande i Graph Explorer.
2. Kontrollera att toppen fortfarande är inställd på POST och https://graph.microsoft.com/v1.0/users/ är i rutan.
3. Kopiera följande kod till begärandetexten
4. Byt ut <your tenant here> i följande kod med värdet för din Microsoft Entra-klient.
5. Välj Kör fråga
6. Kopiera det ID som returneras i resultatet. Det här ID:t används senare för att tilldela en chef.

   {
     "accountEnabled": true,
     "displayName": "Britta Simon",
     "mailNickname": "bsimon",
     "department": "sales",
     "mail": "bsimon@<your tenant name here>",
     "employeeHireDate": "2021-01-15T22:10:00Z",
     "userPrincipalName": "bsimon@<your tenant name here>",
     "passwordProfile" : {
       "forceChangePasswordNextSignIn": true,
       "password": "<Generated Password>"
     }
   }
   

Kommentar

Du måste ändra klientorganisationens <namn här> i koden för att matcha din Microsoft Entra-klientorganisation.

Alternativt kan följande PowerShell-skript också användas för att snabbt skapa två användare som behövs för att köra ett livscykelarbetsflöde. En användare representerar vår nya medarbetare och den andra representerar den nya medarbetarens chef.

Viktigt!

Följande PowerShell-skript tillhandahålls för att snabbt skapa de två användarna som krävs för denna handledning. Dessa användare kan också skapas i administrationscentret för Microsoft Entra.

För att skapa det här steget sparar du följande PowerShell-skript på en plats på en dator som har åtkomst till Azure.

Därefter måste du redigera skriptet och ersätta <klientorganisationens namn här> med namnet på din klientorganisation. Till exempel: $UPN_manager = "bsimon@<your tenant name here>" till $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Du måste utföra den här åtgärden för både $UPN_employee och $UPN_manager

När du har redigerat skriptet sparar du det och följer dessa steg:

1. Öppna en Windows PowerShell-kommandotolk med administratörsbehörighet från en dator som har åtkomst till administrationscentret för Microsoft Entra.
2. Navigera till den sparade PowerShell-skriptplatsen och kör den.
3. Om du uppmanas att välja Ja till alla när du installerar PowerShell-modulen.
4. När du uppmanas att göra det loggar du in på administrationscentret för Microsoft Entra med en global administratör för din klientorganisation.

#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name Microsoft.Graph
Connect-MgGraph -Confirm

$PasswordProfile = @{
  Password = "$Password_manager"
  }

New-MgUser -DisplayName $Displayname_manager -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department

$PasswordProfile = @{
  Password = "$Password_employee"
  }

New-MgUser -DisplayName $Displayname_employee -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

När dina användare har skapats i Microsoft Entra ID kan du fortsätta med att följa övningarna för arbetsflödenas livscykel för att skapa arbetsflödet.

Andra steg för förinställda scenario

Det finns några andra steg som du bör känna till när du testar antingen självstudiekursen för ombordstigning av användare till din organisation med hjälp av livscykelarbetsflöden via Administrationscenter för Microsoft Entra eller självstudiekursen för ombordstigning av användare till din organisation med hjälp av livscykelarbetsflöden via Microsoft Graph.

Redigera användarnas attribut med hjälp av administrationscentret för Microsoft Entra

Några av de attribut som krävs för introduktionskursen exponeras via administrationscentret för Microsoft Entra och kan ställas in där.

Dessa attribut är:

Attribut	beskrivning	Ange på
e-post	Används för att meddela chefen om de nya anställdas tillfälliga åtkomstpass	Chef
föreståndare	Det här attributet som används av livscykelarbetsflödet	Medarbetare

I självstudien behöver e-postattributet endast anges för chefskontot och chef-attributet ska anges för det anställdas konto. Gör så här:

1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
2. Bläddra till >Entra-ID-användare>.
3. Välj Melva Prince.
4. Längst upp väljer du Redigera.
5. Under Chef väljer du Ändra och Välj Britta Simon.
6. Längst upp väljer du Spara.
7. Gå tillbaka till användare och välj Britta Simon.
8. Längst upp väljer du Redigera.
9. Under E-post anger du en giltig e-postadress.
10. Välj Spara.

Redigera employeeHireDate

Attributet employeeHireDate är nytt för Microsoft Entra ID. Den exponeras inte via användargränssnittet och måste uppdateras med hjälp av Graph. Om du vill redigera det här attributet kan vi använda Graph Explorer.

Kommentar

Tänk på att ett arbetsflöde inte utlöses när anställningsdatumet för anställda (dagar från händelsen) infaller före arbetsflödets skapandedatum. Du måste ange en employeeHireDate i framtiden avsiktligt. Datumen som används i den här handledningen är en ögonblicksbild av tiden. Därför bör du ändra datumen så att de passar för den här situationen.

För att kunna göra detta måste vi hämta objekt-ID:t för vår användare Melva Prince.

1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.

2. Bläddra till >Entra-ID-användare>.

3. Välj Melva Prince.

4. Välj kopieringstecknet bredvid objekt-ID:t.

5. Gå nu till Graph Explorer.

6. Logga in på Graph Explorer med det globala administratörskontot för din klientorganisation.

7. Överst ändrar du GET till PATCH och lägger till https://graph.microsoft.com/v1.0/users/<id> i rutan. Ersätt <id> med det värde som vi kopierade tidigare.

8. Kopiera följande i till begärandetexten och välj Kör fråga

   {
   "employeeHireDate": "2022-04-15T22:10:00Z"
   }
   

   

9. Verifiera ändringen genom att ändra TILLBAKA PATCH till GET och v1.0 till beta. Välj Kör fråga. Du bör se attributen för Melva-uppsättningen.
   

Redigera chefsattributet för det anställdas konto

Chefsattributet används för e-postaviseringsuppgifter. Den skickar ett tillfälligt lösenord till chefen för den nya medarbetaren. Använd följande steg för att se till att dina Microsoft Entra-användare har ett värde för manager-attributet.

1. Fortfarande i Graph Explorer.

2. Kontrollera att toppen fortfarande är inställd på PUT och https://graph.microsoft.com/v1.0/users/<id>/manager/$ref är i rutan. Ändra <id> till ID:t för Melva Prince.

3. Kopiera följande kod till begärandetexten

4. Ersätt <managerid> i följande kod med värdet för Britta Simons ID.

5. Välj Kör fråga

   {
     "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
   }
   

   

6. Nu kan vi kontrollera att chefen har angetts korrekt genom att ändra PUT till GET.

7. Kontrollera att https://graph.microsoft.com/v1.0/users/<id>/manager/ är i rutan. <id> är fortfarande den av Melva Prince.

8. Välj Kör fråga. Du bör se att Britta Simon är med i svaret.

   

Mer information om hur du uppdaterar chefsinformation för en användare i Graph API finns i dokumentation om att tilldela en chef. Du kan också ange det här attributet i Administrationscenter för Azure. Mer information finns i Lägga till eller ändra profilinformation.

Aktivera det tillfälliga åtkomstpasset (TAP)

Ett tillfälligt åtkomstpass är ett tidsbegränsad pass som utfärdats av en administratör som uppfyller starka autentiseringskrav.

I det här scenariot använder vi den här funktionen i Microsoft Entra-ID för att generera ett tillfälligt åtkomstpass för vår nya medarbetare. Den skickas till den anställdes chef.

Om du vill använda den här funktionen måste den vara aktiverad i vår Microsoft Entra-klientorganisation. Använd följande steg för att aktivera den här funktionen.

1. Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
2. Bläddra till Entra ID-autentiseringsmetoder>>Tillfälliga åtkomstpass
3. Välj Ja för att aktivera principen och lägg till Britta Simon och välj vilka användare som har principen tillämpad och eventuella allmänna inställningar.

Överväganden för avhoppare-scenario

Det finns ett extra steg som du bör känna till när du testar självinstruktionsguiderna för att avveckla användare från din organisation med livscykelarbetsflöden, antingen via Microsoft Entra administrationscenter eller med Microsoft Graph.

Konfigurera användare med grupper och Teams med teammedlemskap

En användare som har grupper och medlemskap i Teams är nödvändig innan du påbörjar handledningarna för ett scenarie där någon lämnar.

Nästa steg

• Så här introducerar du användare till din organisation med hjälp av livscykelarbeten och Microsoft Entras administratörscenter
• Introducera användare till din organisation med hjälp av arbetsflöden för livscykelhantering i Microsoft Graph
• Självstudie: Avregistrera användare från din organisation med livscykelarbetsflöden med Administrationscenter för Microsoft Entra
• Självstudie: Avveckla användare från din organisation med livscykelarbetsflöden i Microsoft Graph