Självstudier för att förbereda användarkonton för livscykelarbetsflöden
För on-boarding och off-boarding behöver du konton som arbetsflödena körs för. Det här avsnittet hjälper dig att förbereda dessa konton, om du redan har testkonton som uppfyller följande krav kan du gå direkt till självstudierna om ombordstigning och avstigning. Två konton krävs för självstudierna om ombordstigning, ett konto för den nya anställningen och ett annat konto som fungerar som chef för den nya anställningen. Det nya anställningskontot måste ha följande attribut inställda:
- employeeHireDate måste anges till idag
- avdelningen måste anges till försäljning
- manager-attributet måste anges och chefskontot ska ha en postlåda för att få ett e-postmeddelande
Självstudierna för avstigning kräver bara ett konto som har grupp- och Teams-medlemskap, men kontot tas bort under självstudien.
Förutsättningar
För att kunna använda den här funktionen krävs Microsoft Entra ID-styrning eller Microsoft Entra Suite-licenser. Information om hur du hittar rätt licens för dina krav finns i Grunderna för Microsoft Entra ID-styrningslicensiering.
- En Microsoft Entra-klientorganisation
- Ett administratörskonto med lämpliga behörigheter för Microsoft Entra-klientorganisationen. Det här kontot används för att skapa våra användare och arbetsflöden.
Innan du börjar
I de flesta fall kommer användare att etableras till Microsoft Entra-ID antingen från en lokal lösning (till exempel Microsoft Entra Connect eller Cloud Sync) eller med en HR-lösning. Dessa användare har attributen och värdena ifyllda när de skapas. Att konfigurera infrastrukturen för att etablera användare ligger utanför omfånget för den här självstudien. Mer information finns i Självstudie: Grundläggande Active Directory-miljö och Självstudie: Integrera en enskild skog med en enda Microsoft Entra-klientorganisation.
Skapa användare i Microsoft Entra-ID
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Vi använder Graph Explorer för att snabbt skapa två användare som behövs för att köra livscykelarbetsflödena i självstudierna. En användare representerar vår nya medarbetare och den andra representerar den nya medarbetarens chef.
Du måste redigera POST och ersätta <klientorganisationens namn här> med namnet på din klientorganisation. Till exempel: $UPN_manager = "bsimon@<your tenant name here>" till $UPN_manager = "bsimon@contoso.onmicrosoft.com".
Kommentar
Tänk på att ett arbetsflöde inte utlöses när anställningsdatumet för anställda (dagar från händelsen) infaller före arbetsflödets skapandedatum. Du måste ange en anställd Anställd i framtiden avsiktligt. Datumen som används i den här självstudien är en ögonblicksbild i tid. Därför bör du ändra datumen så att de passar för den här situationen.
Först skapar vi vår medarbetare Melva Prince.
- Gå nu till Graph Explorer.
- Logga in på Graph Explorer med användarkontot Användaradministratör för din klientorganisation.
- Överst ändrar du GET till POST och lägger till
https://graph.microsoft.com/v1.0/users/
i rutan. - Kopiera följande kod till begärandetexten
- Ersätt
<your tenant here>
i följande kod med värdet för din Microsoft Entra-klientorganisation. - Välj Kör fråga
- Kopiera det ID som returneras i resultatet. Detta används senare för att tilldela en chef.
{
"accountEnabled": true,
"displayName": "Melva Prince",
"mailNickname": "mprince",
"department": "sales",
"mail": "mprince@<your tenant name here>",
"employeeHireDate": "2022-04-15T22:10:00Z",
"userPrincipalName": "mprince@<your tenant name here>",
"passwordProfile" : {
"forceChangePasswordNextSignIn": true,
"password": "<Generated Password>"
}
}
Sedan skapar vi Britta Simon. Det här kontot används som vår chef.
- Fortfarande i Graph Explorer.
- Kontrollera att toppen fortfarande är inställd på POST och
https://graph.microsoft.com/v1.0/users/
är i rutan. - Kopiera följande kod till begärandetexten
- Ersätt
<your tenant here>
i följande kod med värdet för din Microsoft Entra-klientorganisation. - Välj Kör fråga
- Kopiera det ID som returneras i resultatet. Det här ID:t används senare för att tilldela en chef.
{ "accountEnabled": true, "displayName": "Britta Simon", "mailNickname": "bsimon", "department": "sales", "mail": "bsimon@<your tenant name here>", "employeeHireDate": "2021-01-15T22:10:00Z", "userPrincipalName": "bsimon@<your tenant name here>", "passwordProfile" : { "forceChangePasswordNextSignIn": true, "password": "<Generated Password>" } }
Kommentar
Du måste ändra klientorganisationens <namn här> i koden för att matcha din Microsoft Entra-klientorganisation.
Alternativt kan följande PowerShell-skript också användas för att snabbt skapa två användare som behövs för att köra ett livscykelarbetsflöde. En användare representerar vår nya medarbetare och den andra representerar den nya medarbetarens chef.
Viktigt!
Följande PowerShell-skript tillhandahålls för att snabbt skapa de två användare som krävs för den här självstudien. Dessa användare kan också skapas i administrationscentret för Microsoft Entra.
För att skapa det här steget sparar du följande PowerShell-skript på en plats på en dator som har åtkomst till Azure.
Därefter måste du redigera skriptet och ersätta <klientorganisationens namn här> med namnet på din klientorganisation. Till exempel: $UPN_manager = "bsimon@<your tenant name here>" till $UPN_manager = "bsimon@contoso.onmicrosoft.com".
Du måste utföra den här åtgärden för både $UPN_employee och $UPN_manager
När du har redigerat skriptet sparar du det och följer dessa steg:
- Öppna en Windows PowerShell-kommandotolk med administratörsbehörighet från en dator som har åtkomst till administrationscentret för Microsoft Entra.
- Navigera till den sparade PowerShell-skriptplatsen och kör den.
- Om du uppmanas att välja Ja till alla när du installerar PowerShell-modulen.
- När du uppmanas att göra det loggar du in på administrationscentret för Microsoft Entra med en global administratör för din klientorganisation.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This
# script is made available to you without any express, implied or
# statutory warranty, not even the implied warranty of
# merchantability or fitness for a particular purpose, or the
# warranty of title or non-infringement. The entire risk of the
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"
Install-Module -Name AzureAD
Connect-MgGraph -Confirm
$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department
När användaren eller användarna har skapats i Microsoft Entra-ID kan du fortsätta att följa självstudierna för livscykelarbetsflöde för att skapa arbetsflödet.
Andra steg för förinställda scenario
Det finns några andra steg som du bör känna till när du testar antingen användare på ombordstigning till din organisation med hjälp av livscykelarbetsflöden med självstudien om Administrationscenter för Microsoft Entra eller självstudiekursen Om ombordstigning av användare till din organisation med hjälp av livscykelarbetsflöden med Microsoft Graph .
Redigera användarnas attribut med hjälp av administrationscentret för Microsoft Entra
Några av de attribut som krävs för introduktionskursen exponeras via administrationscentret för Microsoft Entra och kan ställas in där.
Dessa attribut är:
Attribut | beskrivning | Ange på |
---|---|---|
e-post | Används för att meddela chefen om de nya anställdas tillfälliga åtkomstpass | Ansvarig |
föreståndare | Det här attributet som används av livscykelarbetsflödet | Medarbetare |
I självstudien behöver e-postattributet endast anges för chefskontot och det manager-attribut som angetts för det anställdas konto. Gör så här:
- Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
- Bläddra till >Identitetsanvändare>>Alla användare.
- Välj Melva Prince.
- Längst upp väljer du Redigera.
- Under Chef väljer du Ändra och Välj Britta Simon.
- Längst upp väljer du Spara.
- Gå tillbaka till användare och välj Britta Simon.
- Längst upp väljer du Redigera.
- Under E-post anger du en giltig e-postadress.
- Välj Spara.
Redigera employeeHireDate
Attributet employeeHireDate är nytt för Microsoft Entra ID. Den exponeras inte via användargränssnittet och måste uppdateras med hjälp av Graph. Om du vill redigera det här attributet kan vi använda Graph Explorer.
Kommentar
Tänk på att ett arbetsflöde inte utlöses när anställningsdatumet för anställda (dagar från händelsen) infaller före arbetsflödets skapandedatum. Du måste ange en employeeHireDate
i framtiden avsiktligt. Datumen som används i den här självstudien är en ögonblicksbild i tid. Därför bör du ändra datumen så att de passar för den här situationen.
För att kunna göra detta måste vi hämta objekt-ID:t för vår användare Melva Prince.
Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
Bläddra till >Identitetsanvändare>>Alla användare.
Välj Melva Prince.
Välj kopieringstecknet bredvid objekt-ID :t.
Gå nu till Graph Explorer.
Logga in på Graph Explorer med det globala administratörskontot för din klientorganisation.
Överst ändrar du GET till PATCH och lägger till
https://graph.microsoft.com/v1.0/users/<id>
i rutan. Ersätt<id>
med det värde som vi kopierade tidigare.Kopiera följande i till begärandetexten och välj Kör fråga
{ "employeeHireDate": "2022-04-15T22:10:00Z" }
Verifiera ändringen genom att ändra TILLBAKA PATCH till GET och v1.0 till beta. Välj Kör fråga. Du bör se attributen för Melva-uppsättningen.
Redigera chefsattributet för det anställdas konto
Chefsattributet används för e-postaviseringsuppgifter. Den skickar ett tillfälligt lösenord till chefen för den nya medarbetaren. Använd följande steg för att se till att dina Microsoft Entra-användare har ett värde för manager-attributet.
Fortfarande i Graph Explorer.
Kontrollera att toppen fortfarande är inställd på PUT och
https://graph.microsoft.com/v1.0/users/<id>/manager/$ref
är i rutan. Ändra<id>
till ID:t för Melva Prince.Kopiera följande kod till begärandetexten
Ersätt
<managerid>
i följande kod med värdet för Britta Simons ID.Välj Kör fråga
{ "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>" }
Nu kan vi kontrollera att chefen har angetts korrekt genom att ändra PUT till GET.
Kontrollera att
https://graph.microsoft.com/v1.0/users/<id>/manager/
det finns i rutan. Är<id>
fortfarande Melva Prince.Välj Kör fråga. Du bör se Britta Simon returneras i svaret.
Mer information om hur du uppdaterar chefsinformation för en användare i Graph API finns i tilldela manager-dokumentation . Du kan också ange det här attributet i Administrationscenter för Azure. Mer information finns i Lägga till eller ändra profilinformation.
Aktivera det tillfälliga åtkomstpasset (TAP)
Ett tillfälligt åtkomstpass är ett tidsbegränsad pass som utfärdats av en administratör som uppfyller starka autentiseringskrav.
I det här scenariot använder vi den här funktionen i Microsoft Entra-ID för att generera ett tillfälligt åtkomstpass för vår nya medarbetare. Den skickas till den anställdes chef.
Om du vill använda den här funktionen måste den vara aktiverad i vår Microsoft Entra-klientorganisation. Använd följande steg för att aktivera den här funktionen.
- Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
- Bläddra till skydd>autentiseringsmetoder>tillfälliga åtkomstpass
- Välj Ja för att aktivera principen och lägg till Britta Simon och välj vilka användare som har principen tillämpad och eventuella allmänna inställningar.
Överväganden för leaver-scenario
Det finns ett extra steg som du bör känna till när du testar självstudierna för antingen användare som inte går ombord från din organisation med hjälp av livscykelarbetsflöden med självstudien om Administrationscenter för Microsoft Entra eller med Microsoft Graph.
Konfigurera användare med grupper och Teams med teammedlemskap
En användare med grupper och Teams-medlemskap krävs innan du påbörjar självstudierna för leaver-scenariot.
Nästa steg
- Användare vid ombordstigning till din organisation med hjälp av livscykelarbetsflöden med administrationscentret för Microsoft Entra
- Användare vid ombordstigning till din organisation med hjälp av livscykelarbetsflöden med Microsoft Graph
- Självstudie: Avregistrera användare från din organisation med livscykelarbetsflöden med Administrationscenter för Microsoft Entra
- Självstudie: Avaboarda användare från din organisation med livscykelarbetsflöden med Microsoft Graph