设置连接器以导入 HR 数据

可以设置数据连接器来导入人力资源 (HR) 与用户辞职或用户工作级别更改等事件相关的数据。 然后 ,内部风险管理解决方案 可以使用 HR 数据来生成风险指标,以帮助你识别组织内部用户可能的恶意活动或数据盗窃。

为内部风险管理策略可用于生成风险指示器的 HR 数据设置连接器包括创建包含 HR 数据的 CSV 文件、在用于身份验证的Microsoft Entra中创建应用、在 Microsoft Purview 门户中创建 HR 数据连接器或Microsoft Purview 合规门户,然后按计划运行脚本 (,) 将 CSV 文件中的 HR 数据引入到Microsoft云,以便内部风险管理解决方案可用。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

  • 确定要导入到 Microsoft 365 的 HR 方案和数据。 这有助于确定需要创建多少个 CSV 文件和 HR 连接器,以及如何生成和构造 CSV 文件。 导入的 HR 数据由要实施的内部风险管理策略决定。 有关详细信息,请参阅步骤 1。

  • 确定如何从组织的 HR 系统 (检索或导出数据,并定期) 并将其添加到步骤 1 中创建的 CSV 文件。 在步骤 4 中运行的脚本会将 CSV 文件中的 HR 数据上传到 Microsoft 云。

  • 必须在步骤 3 中创建 HR 连接器的用户分配数据连接器管理员角色。 需要此角色才能在 Microsoft Purview 门户或合规性门户的 “数据连接器 ”页上添加连接器。 默认情况下,此角色将添加到多个角色组。 有关这些角色组的列表,请参阅 Microsoft Defender for Office 365 中的角色和 Microsoft Purview 合规性。 或者,组织中的管理员可以创建自定义角色组,分配数据连接器管理员角色,然后将相应的用户添加为成员。 有关说明,请参阅以下内容:

  • 在步骤 4 中运行的示例脚本会将 HR 数据上传到 Microsoft 云,以便内部风险管理解决方案可以使用这些数据。 任何Microsoft标准支持计划或服务都不支持此示例脚本。 示例脚本“原样”提供,不提供任何形式的保证。 Microsoft 进一步拒绝所有默示保证,包括但不限于针对特定用途的适销性或适用性的任何默示保证。 由于示例脚本及文档的使用或性能所引起的全部风险均由你承担。 在任何情况下,对于由于使用或者无法使用示例脚本或文档所引起的任何损失(包括但不限于商业利润损失、业务中断、商业信息丢失或者其他经济损失),Microsoft、其作者或者参与创建、制作或交付脚本的任何人概不负责,即使 Microsoft 已被告知可能会出现此类损失。

  • 此连接器在 Microsoft 365 美国政府云中的 GCC 环境中可用。 第三方应用程序和服务可能涉及在 Microsoft 365 基础结构之外的第三方系统上存储、传输和处理组织的客户数据,因此,Microsoft Purview 和数据保护承诺未涵盖。 Microsoft不表示使用此产品连接到第三方应用程序意味着这些第三方应用程序符合 FEDRAMP。 有关在 GCC 环境中设置 HR 连接器的分步说明,请参阅 设置连接器以在美国政府中导入 HR 数据

  • webhook.ingestion.office.com 域添加到组织的防火墙允许列表。

步骤 1:使用 HR 数据准备 CSV 文件

第一步是创建包含连接器将导入到 Microsoft 365 的 HR 数据的 CSV 文件。 内部风险解决方案将使用此数据来生成潜在风险指标。 以下 HR 方案的数据可以导入到 Microsoft 365:

  • 员工辞职。 有关已离开组织的员工的信息。

  • 作业级别更改。 有关员工的工作级别更改的信息,例如晋升和降级。

  • 性能评审。 有关员工绩效的信息。

  • 性能改进计划。 有关员工绩效改进计划的信息。

  • 员工个人资料 (预览) 。 有关员工的一般信息。

要导入的 HR 数据类型取决于内部风险管理策略和要实现的相应策略模板。 下表显示了每个策略模板所需的 HR 数据类型:

策略模板 HR 数据类型
离职用户窃取数据 员工辞职
数据泄漏 不适用
优先用户的数据泄露 不适用
风险用户的数据泄漏 作业级别更改、性能评审、性能改进计划
安全策略冲突 不适用
离职用户的安全策略违规活动 员工辞职
优先用户的安全策略违规 不适用
风险用户违反安全策略 作业级别更改、性能评审、性能改进计划
邮件中的冒犯性语言 不适用
医疗保健策略 员工个人资料

有关内部风险管理策略模板的详细信息,请参阅 内部风险管理策略

对于每个 HR 方案,需要在一个或多个 CSV 文件中提供相应的 HR 数据。 本部分稍后将讨论用于内部风险管理实现的 CSV 文件数。

使用所需的 HR 数据创建 CSV 文件后,将其存储在步骤 4 中运行脚本的本地计算机上。 还应实施更新策略,以确保 CSV 文件始终包含最新信息,以便无论运行脚本什么,最新的 HR 数据都将上传到Microsoft云,并可供内部风险管理解决方案访问。

重要

以下部分所述的列名称不是必需的参数,而只是示例。 可以在 CSV 文件中使用任何列名。 但是,在步骤 3 中创建 HR 连接器时,CSV 文件中使用的列名称 必须 映射到数据类型。 另请注意,以下部分中的示例 CSV 文件显示在记事本视图中。 在 Microsoft Excel 中查看和编辑 CSV 文件要容易得多。 以下部分介绍每个 HR 方案所需的 CSV 数据。

员工辞职数据的 CSV 文件

下面是员工辞职数据的 CSV 文件示例。

UserPrincipalName,ResignationDate,LastWorkingDate
sarad@contoso.com,2019-04-23T15:18:02.4675041+05:30,2019-04-29T15:18:02.4675041+05:30
pilarp@contoso.com,2019-04-24T09:15:49Z,2019-04-29T15:18:02.7117540

下表描述了 CSV 文件中员工辞职数据的每一列。

说明
UserPrincipalName Microsoft Entra UserPrincipalName (UPN) 用于标识终止的用户。
ResignationDate 指定在组织中正式终止用户的雇佣关系的日期。 例如,这可能是用户发出离开组织的通知的日期。 此日期可能与该人最后一个工作日的日期不同。 使用以下日期格式: yyyy-mm-ddThh:mm:ss.nnnnnn+|-hh:mm,即 ISO 8601 日期和时间格式
LastWorkingDate 指定终止用户的最后一天工作。 使用以下日期格式: yyyy-mm-ddThh:mm:ss.nnnnnn+|-hh:mm,即 ISO 8601 日期和时间格式

作业级别更改数据的 CSV 文件

下面是作业级别更改数据的 CSV 文件示例。

UserPrincipalName,EffectiveDate,OldLevel,NewLevel
sarad@contoso.com,2019-04-23T15:18:02.4675041+05:30,Level 61 - Sr. Manager,Level 60- Manager
pillar@contoso.com,2019-04-23T15:18:02.4675041+05:30,Level 62 - Director,Level 60- Sr. Manager

下表描述了 CSV 文件中作业级别更改数据的每一列。

说明
UserPrincipalName Microsoft Entra UserPrincipalName (UPN) 用于指定用户的电子邮件地址。
EffectiveDate 指定正式更改用户的作业级别的日期。 使用以下日期格式: yyyy-mm-ddThh:mm:ss.nnnnnn+|-hh:mm,即 ISO 8601 日期和时间格式
备注 指定评估程序提供的有关作业级别更改的备注。 可以输入 200 个字符的限制。 此参数是可选的。 无需将其包含在 CSV 文件中。
OldLevel 指定更改前用户的作业级别。 这是一个自由文本参数,可以包含组织的分层分类。 此参数是可选的。 无需将其包含在 CSV 文件中。
NewLevel 指定更改后用户的作业级别。 这是一个自由文本参数,可以包含组织的分层分类。 此参数是可选的。 无需将其包含在 CSV 文件中。

性能评审数据的 CSV 文件

下面是性能数据的 CSV 文件示例。

UserPrincipalName,EffectiveDate,Remarks,Rating
sarad@contoso.com,2019-04-23T15:18:02.4675041+05:30,Met expectations but bad attitude,2-Below expectation
pillar@contoso.com,2019-04-23T15:18:02.4675041+05:30, Multiple conflicts with the team

下表描述了 CSV 文件中性能评审数据的每一列。

说明
UserPrincipalName Microsoft Entra UserPrincipalName (UPN) 用于指定用户的电子邮件地址。
EffectiveDate 指定正式通知用户性能评审结果的日期。 这可以是性能评审周期结束的日期。 使用以下日期格式: yyyy-mm-ddThh:mm:ss.nnnnnn+|-hh:mm,即 ISO 8601 日期和时间格式
备注 指定评估程序为性能评审提供给用户的任何备注。 这是一个限制为 200 个字符的文本参数。 此参数是可选的。 无需将其包含在 CSV 文件中。
评级 指定为性能评审提供的分级。 这是一个文本参数,可以包含组织用来识别评估的任何自由格式文本。 例如,“3 符合预期”或“2 低于平均值”。 这是一个限制为 25 个字符的文本参数。 此参数是可选的。 无需将其包含在 CSV 文件中。

性能改进计划数据的 CSV 文件

下面是性能改进计划数据的 CSV 文件示例。

UserPrincipalName,EffectiveDate,ImprovementRemarks,PerformanceRating
sarad@contoso.com,2019-04-23T15:18:02.4675041+05:30,Met expectation but bad attitude,2-Below expectation
pillar@contoso.com,2019-04-23T15:18:02.4675041+05:30, Multiple conflicts with the team

下表描述了 CSV 文件中性能评审数据的每一列。

说明
UserPrincipalName Microsoft Entra UserPrincipalName (UPN) 用于指定用户的电子邮件地址。
EffectiveDate 指定正式通知用户其性能改进计划的日期。 必须使用以下日期格式: yyyy-mm-ddThh:mm:ss.nnnnnn+|-hh:mm,即 ISO 8601 日期和时间格式
备注 指定评估程序提供的关于性能改进计划的任何备注。 这是一个限制为 200 个字符的文本参数。 这是一个可选参数。 无需将其包含在 CSV 文件中。
评级 指定与性能评审相关的任何分级或其他信息。 这是一个文本参数,可以包含组织用来识别评估的任何自由格式文本。 例如,“3 符合预期”或“2 低于平均值”。 这是一个限制为 25 个字符的文本参数。 这是一个可选参数。 无需将其包含在 CSV 文件中。

员工个人资料数据的 CSV 文件 (预览)

注意

为员工个人资料数据创建 HR 连接器的功能以公共预览版提供。 若要创建支持员工个人资料数据的 HR 连接器,请转到合规性门户中 的“数据连接器 ”页,选择“ 连接器 ”选项卡,然后选择“ ) 添加连接器>HR (预览 ”。 按照步骤 3:创建 HR 连接器中的步骤创建连接器。

下面是员工个人资料数据的 CSV 文件示例。

UserPrincipalName,UserName,EmployeeFirstName,EmployeeLastName,EmployeeAddLine1,EmployeeAddLine2,EmployeeCity,EmployeeState,EmployeeZipCode,EmployeeDept,EmployeeType,EmployeeRole
jackq@contoso.com,jackq,jack,qualtz,50 Oakland Ave,#206,City,Florida,32104,Orthopaedic,Regular,Nurse

下表描述了 CSV 文件中员工个人资料数据的每一列。

说明
UserPrincipalName* Microsoft Entra UserPrincipalName (UPN) 用于指定用户的电子邮件地址。
EmployeeFirstName* 员工的名字。
EmployeeLastName* 员工的姓氏。
EmployeeAddressLine1* 员工的街道地址。
EmployeeAddressLine2 员工的辅助地址信息,例如公寓号。
EmployeeCity 员工的居住城市。
EmployeeState 员工的居住状态。
EmployeeZipCode* 员工居住的邮政编码。
EmployeeCountry 员工居住的国家/地区。
EmployeeDepartment 组织中的员工部门。
EmployeeType 员工的雇佣类型,例如常规、豁免或承包商。
EmployeeRole 员工在组织中的角色、职务或职务。

注意

* 此列是必需的。 如果缺少必需列,将不会验证 CSV 文件,也不会导入该文件中的其他数据。

建议创建仅导入员工个人资料数据的 HR 连接器。 对于此连接器,请确保经常刷新员工个人资料数据,最好是每 15 到 20 天刷新一次。 如果员工个人资料记录在过去 30 天内未更新,则将删除这些记录。

确定要用于 HR 数据的 CSV 文件数

在步骤 3 中,可以选择为每个 HR 数据类型创建单独的连接器,也可以选择为所有数据类型创建单个连接器。 可以使用包含一个 HR 方案数据的单独 CSV 文件 (如前面部分) 中所述的 CSV 文件示例。 或者,可以使用包含两个或多个 HR 方案数据的单个 CSV 文件。 下面是一些指南,可帮助你确定要用于 HR 数据的 CSV 文件数。

  • 如果要实现的内部风险管理策略需要多种 HR 数据类型,请考虑使用包含所有所需数据类型的单个 CSV 文件。

  • 用于生成或收集 HR 数据的方法可以确定 CSV 文件的数量。 例如,如果用于配置 HR 连接器的不同类型的 HR 数据位于组织中的单个 HR 系统中,则可以将数据导出到单个 CSV 文件。 但是,如果数据分布在不同的 HR 系统,则将数据导出到不同的 CSV 文件可能更容易。 例如,员工辞职数据可能位于与作业级别或绩效评审数据不同的 HR 系统中。 在这种情况下,使用单独的 CSV 文件可能更容易,而不必手动将数据合并到单个 CSV 文件中。 因此,如何从 HR 系统检索或导出数据可能会决定所需的 CSV 文件数量。

  • 一般情况下,需要创建的 HR 连接器数由 CSV 文件中的数据类型决定。 例如,如果 CSV 文件包含支持内部风险管理实现所需的所有数据类型,则只需要一个 HR 连接器。 但是,如果你有两个单独的 CSV 文件,每个文件都包含一个数据类型,则必须创建两个 HR 连接器。 例外情况是,如果将 HRScenario 列添加到 CSV 文件 (请参阅下一部分) ,则可以配置可以处理不同 CSV 文件的单个 HR 连接器。

  • 对于每个 CSV 文件,最多可以同时引入 500 条记录。 若要引入更多记录,请上传多个 CSV 文件,每个文件少于 500 条记录。

为多个 HR 数据类型配置单个 CSV 文件

可以将多个 HR 数据类型添加到单个 CSV 文件。 如果实施的内部风险管理解决方案需要多个 HR 数据类型,或者数据类型位于组织中的单个 HR 系统中,则这非常有用。 拥有较少的 CSV 文件始终允许创建和管理的 HR 连接器更少。

下面是配置具有多种数据类型的 CSV 文件的要求:

  • 必须添加所需列 (和可选列(如果将其) 用于每个数据类型和标题行中的相应列名称)。 如果数据类型与列不对应,则可以将值留空。

  • 若要将 CSV 文件与多种类型的 HR 数据配合使用,HR 连接器需要知道 CSV 文件中的哪些行包含哪种类型的 HR 数据。 这可以通过向 CSV 文件添加额外的 HRScenario 列来实现。 此列中的值标识每行中的 HR 数据类型。 例如,与 HR 方案对应的值可以是“辞职”、“工作级别更改”、“绩效评审”、“绩效改进计划”和“员工配置文件”。

  • 如果有多个 CSV 文件包含 HRScenario** 列,请确保每个文件使用相同的列名和标识特定 HR 方案的相同值。

以下示例显示了包含 HRScenario 列的 CSV 文件。 HRScenario 列中的值标识相应行中的数据类型。 以下示例涵盖四个 HR 方案“辞职”、“作业级别更改”、“绩效评审”和“绩效改进计划”。

HRScenario,EmailAddress,ResignationDate,LastWorkingDate,EffectiveDate,Remarks,Rating,OldLevel,NewLevel
Resignation,sarad@contoso.com,2019-04-23T15:18:02.4675041+05:30,2019-04-29T15:18:02.4675041+05:30,,,,
Resignation,pilarp@contoso.com,2019-04-24T09:15:49Z,2019-04-29T15:18:02.7117540,,,,
Job level change,sarad@contoso.com,2019-04-23T15:18:02.4675041+05:30,,,,,Level 61 Sr. Manager, Level 60 Manager
Job level change,pillarp@contoso.com,2019-04-23T15:18:02.4675041+05:30,,,,,Level 62 Director,Level 60 Sr Manager
Performance review,sarad@contoso.com,,,2019-04-23T15:18:02.4675041+05:30,Met expectation but bad attitude,2 Below expectations,,
Performance review,pillarp@contoso.com,,,2019-04-23T15:18:02.4675041+05:30, Multiple conflicts with the team,,
Performance improvement plan,sarad@contoso.com,,,2019-04-23T15:18:02.4675041+05:30,Met expectations but bad attitude,2 Below expectations,,
Performance improvement plan,pillarp@contoso.com,,,2019-04-23T15:18:02.4675041+05:30,Multiple conflicts with the team,,

注意

可以为标识 HR 数据类型的列使用任何名称,因为在步骤 3 中设置连接器时,会将 CSV 文件中的列名称映射为标识 HR 数据类型的列。 设置连接器时,还将映射用于数据类型列的值。

将 HRScenario 列添加到包含单个数据类型的 CSV 文件

根据组织的 HR 系统以及如何将 HR 数据导出到 CSV 文件,可能需要创建包含单个 HR 数据类型的多个 CSV 文件。 在这种情况下,仍可以创建单个 HR 连接器以从不同的 CSV 文件导入数据。 为此,只需将 HRScenario 列添加到 CSV 文件并指定 HR 数据类型即可。 然后,可以为每个 CSV 文件运行脚本,但对连接器使用相同的作业 ID。 请参阅 步骤 4

步骤 2:在 Microsoft Entra ID 中创建应用

下一步是在 Microsoft Entra ID 中创建和注册新应用。 该应用将与步骤 3 中创建的 HR 连接器相对应。 创建此应用将允许Microsoft Entra ID在 HR 连接器运行并尝试访问组织时对其进行身份验证。 此应用还用于对步骤 4 中运行的脚本进行身份验证,以便将 HR 数据上传到 Microsoft 云。 创建此Microsoft Entra应用期间,请务必保存以下信息。 这些值将在步骤 3 和步骤 4 中使用。

  • Microsoft Entra应用程序 ID (也称为应用 ID客户端 ID)
  • Microsoft Entra应用程序机密 (也称为客户端机密)
  • 租户 ID (也称为 目录 ID)

有关在 Microsoft Entra ID 中创建应用的分步说明,请参阅向Microsoft 标识平台注册应用程序

步骤 3:创建 HR 连接器

下一步是在 Microsoft Purview 门户或合规性门户中创建 HR 连接器。 在步骤 4 中运行脚本后,创建的 HR 连接器会将 CSV 文件中的 HR 数据引入到 Microsoft 365 组织。 在创建连接器之前,请确保拥有 HR 方案的列表以及每个方案对应的 CSV 列名称。 配置连接器时,必须将每个方案所需的数据映射到 CSV 文件中的实际列名。 或者,可以在配置连接器时上传示例 CSV 文件,向导将帮助你将列的名称映射到所需的数据类型。

完成此步骤后,请务必复制创建连接器时生成的作业 ID。 运行脚本时,将使用作业 ID。

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户

  2. 选择 “设置”>“数据连接器”。

  3. 选择 “我的连接器”,然后选择“ 添加连接器”。

  4. 从列表中选择 “HR” (预览)

  5. “设置连接” 页上,执行以下操作,然后选择“ 下一步”:

    1. 键入或粘贴在步骤 2 中创建的 Azure 应用的Microsoft Entra应用程序 ID。

    2. 键入 HR 连接器的名称。

  6. 在“HR 方案”页上,选择要为其导入数据的一个或多个 HR 方案,然后选择“ 下一步”。

    选择一个或多个 HR 方案。

  7. 在“文件映射方法”页上,根据需要选择文件类型,然后选择以下选项之一,然后选择“ 下一步”。

    • 上传示例文件。 如果选择此选项,请选择“ 上传示例文件 ”以上传在步骤 1 中准备的 CSV 文件。 此选项允许你从下拉列表中快速选择 CSV 文件中的列名,以将它们映射到之前选择的 HR 方案的数据类型。

    OR

    • 手动提供映射详细信息。 如果选择此选项,则必须在 CSV 文件中键入列的名称,以将它们映射到之前选择的 HR 方案的数据类型。
  8. 在“文件映射详细信息”页上,根据是上传了示例 CSV 文件,还是为单个 HR 方案或多个方案配置连接器,执行下列操作之一。 如果上传了示例文件,则无需键入列名。 从下拉列表中选取它们。

    • 如果在上一步中选择了单个 HR 方案,请在每个相应的框中键入列标题名称 (也称为 参数) 在步骤 1 中创建的 CSV 文件。 键入的列名称不区分大小写,但如果 CSV 文件中的列名包含空格,请确保包含空格。 如前所述,在这些框中键入的名称必须与 CSV 文件中的参数名称匹配。 例如,以下屏幕截图显示了步骤 1 中显示的员工辞职 HR 方案的示例 CSV 文件中的参数名称。

    • 如果在上一步中选择了多个数据类型,则需要输入标识符列名称,以在 CSV 文件中标识 HR 数据类型。 输入标识符列名称后,键入标识此 HR 数据类型的值,然后键入 CSV 文件中所选数据类型的列标题名称, (在步骤 1 中创建) 的每个选定数据类型的相应框中。 如前所述,在这些框中键入的名称必须与 CSV 文件中的列名称匹配。

  9. 在“ 审阅 ”页上,查看设置,然后选择“ 完成 ”以创建连接器。

    将显示一个状态页,确认已创建连接器。 此页包含完成下一步以运行示例脚本以上传 HR 数据所需的两个重要事项。

    查看包含作业 ID 的“查看”页,并链接到 github 以获取示例脚本。

    1. 作业 ID。 在下一步中,需要使用此作业 ID 来运行脚本。 可以从此页或连接器浮出控件页复制它。

    2. 示例脚本的链接。 选择 此处 的链接,转到 GitHub 站点以访问示例脚本, (链接) 打开一个新窗口。 使此窗口保持打开状态,以便复制步骤 4 中的脚本。 或者,可以为目标添加书签或复制 URL,以便在运行脚本时再次访问它。 连接器浮出控件页上也提供了此链接。

  10. 选择“完成”。

    新连接器显示在“ 连接器 ”选项卡上的列表中。

  11. 选择刚创建的 HR 连接器以显示浮出控件页,其中包含有关连接器的属性和其他信息。

    新 HR 连接器的浮出控件页。

如果尚未这样做,可以复制Azure 应用 ID连接器作业 ID 的值。 在下一步中,你将需要这些脚本来运行脚本。 还可以从浮出控件页下载脚本, (或使用下一步中的链接下载脚本。)

还可以选择“编辑”,更改在“文件映射”页上定义的Azure 应用 ID 或列标题名称。

步骤 4:运行示例脚本以上传 HR 数据

重要

必须将 webhook.ingestion.office.com 域添加到组织的防火墙允许列表中。 如果此域被阻止,脚本将不会运行。

设置 HR 连接器的最后一步是运行示例脚本,该脚本会将在步骤 1) 中创建 (CSV 文件中的 HR 数据上传到 Microsoft 云。 具体而言,该脚本将数据上传到 HR 连接器。 运行脚本后,在步骤 3 中创建的 HR 连接器会将 HR 数据导入到 Microsoft 365 组织中,其他合规性工具(例如预览体验成员风险管理解决方案)可以访问这些数据。 运行脚本后,请考虑计划每天自动运行的任务,以便将最新的员工解雇数据上传到Microsoft云。 请参阅 计划脚本以自动运行

  1. 转到在上一步中保持打开状态的窗口,使用示例脚本访问 GitHub 站点。 或者,打开带书签的网站或使用复制的 URL。 还可以 在此处访问脚本。

  2. 选择“ 原始 ”按钮,在文本视图中显示脚本。

  3. 复制示例脚本中的所有行,然后将其保存到文本文件中。

  4. 如有必要,请修改组织的示例脚本。

  5. 使用文件名后缀.ps1将文本文件另存为Windows PowerShell脚本文件,HRConnector.ps1例如 。 或者,可以将 GitHub 文件名用于脚本,即 upload_termination_records.ps1

  6. 在本地计算机上打开命令提示符,并转到保存脚本的目录。

  7. 运行以下命令,将 CSV 文件中的 HR 数据上传到Microsoft云:例如:

    .\HRConnector.ps1 -tenantId <tenantId> -appId <appId>  -appSecret <appSecret>  -jobId <jobId>  -filePath '<filePath>'
    

    下表介绍了要用于此脚本的参数及其所需值。 在前面的步骤中获取的信息用于这些参数的值中。

    参数 说明
    tenantId 这是在步骤 2 中获取的 Microsoft 365 组织的 ID。 还可以在Microsoft Entra 管理中心的“概述”边栏选项卡上获取组织的租户 ID。 这用于标识组织。
    appId 这是在步骤 2 Microsoft Entra ID 中创建的应用Microsoft Entra应用程序 ID。 当脚本尝试访问 Microsoft 365 组织时,Microsoft Entra ID使用此脚本进行身份验证。
    appSecret 这是在步骤 2 Microsoft Entra ID 中创建的应用Microsoft Entra应用程序机密。 这还用于身份验证。
    jobId 这是在步骤 3 中创建的 HR 连接器的作业 ID。 这用于将上传到 Microsoft 云的 HR 数据与 HR 连接器相关联。
    filePath 这是存储在与步骤 1 中创建的脚本) 相同的系统上的文件 (的文件路径。 尽量避免文件路径中的空格;否则,请使用单引号。

    下面是使用每个参数的实际值的 HR 连接器脚本语法示例:

     .\HRConnector.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -filePath 'C:\Users\contosoadmin\Desktop\Data\employee_termination_data.csv'
    

    如果上传成功,脚本将显示 “上传成功” 消息。

    注意

    如果由于执行策略而运行上一命令时遇到问题,请参阅 关于执行策略Set-ExecutionPolicy ,了解有关设置执行策略的指导。

步骤 5:监视 HR 连接器

创建 HR 连接器并运行脚本以上传 HR 数据后,可以在 Microsoft Purview 门户或合规性门户中查看连接器和上传状态。 如果将脚本计划为定期自动运行,还可以在上次运行脚本后查看当前状态。

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户

  2. 选择 “设置”>“数据连接器”。

  3. 选择“ 我的连接器”,然后选择创建的 HR 连接器以显示浮出控件页面。 此页包含有关连接器的属性和信息。

  4. 在“ 进度”下,选择“ 下载日志 ”链接以打开 (或保存) 连接器的状态日志。 此日志包含有关每次运行脚本并将 CSV 文件中的数据上传到Microsoft云的信息。

    HR 连接器日志文件显示 CSV 文件中已上传的行数。

    字段 RecordsSaved 指示上传的 CSV 文件中的行数。 例如,如果 CSV 文件包含四行,则如果脚本成功上传 CSV 文件中的所有行,则字段的值为 RecordsSaved 4。

如果尚未在步骤 4 中运行脚本,则会在 “上次导入”下显示用于下载脚本的链接。 可以下载脚本,然后按照步骤运行脚本。

(可选) 步骤 6:计划脚本以自动运行

若要确保组织的最新 HR 数据可用于内部风险管理解决方案等工具,建议将脚本安排为定期自动运行,例如每天运行一次。 这还要求你在 CSV 文件中更新类似 ((如果不是相同的) 计划)中的 HR 数据,以便包含有关离开组织的员工的最新信息。 目标是上传最新的 HR 数据,以便 HR 连接器可以将其提供给内部风险管理解决方案。

可以使用 Windows 中的任务计划程序应用每天自动运行脚本。

  1. 在本地计算机上,选择“Windows 开始” 按钮,然后键入 “任务计划程序”。

  2. 选择 “任务计划程序” 应用将其打开。

  3. “操作” 部分中,选择“ 创建任务”。

  4. 在“ 常规 ”选项卡上,键入计划任务的描述性名称;例如 HR 连接器脚本。 还可以添加可选说明。

  5. “安全选项”下,执行以下操作:

    1. 确定是仅在登录到计算机时运行脚本,还是在登录与否时运行脚本。

    2. 确保选中“ 使用最高权限运行 ”复选框。

  6. 选择“ 触发器 ”选项卡,选择“ 新建”,然后执行以下操作:

    1. “设置”下,选择“ 每日 ”选项,然后选择首次运行脚本的日期和时间。 该脚本将每天在同一指定时间运行。

    2. “高级设置”下,确保选中“ 已启用 ”复选框。

    3. 选择“确定”

  7. 选择“ 操作 ”选项卡,选择“ 新建”,然后执行以下操作:

    用于为 HR 连接器脚本创建新的计划任务的操作设置。

    1. “操作” 下拉列表中,确保已选择 “启动程序 ”。

    2. “程序/脚本 ”框中,选择“ 浏览”,转到以下位置并选择它,以便在框中显示路径: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

    3. “添加参数 (可选) ”框中,粘贴在步骤 4 中运行的相同脚本命令。 例如,.\HRConnector.ps1 -tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -filePath "C:\Users\contosoadmin\Desktop\Data\employee_termination_data.csv"

    4. 在“ (可选) ”框中,粘贴步骤 4 中运行的脚本的文件夹位置。 例如,C:\Users\contosoadmin\Desktop\Scripts

    5. 选择 “确定” 以保存新操作的设置。

  8. “创建任务” 窗口中,选择“ 确定” 以保存计划的任务。 系统可能会提示输入用户帐户凭据。

    新任务显示在任务计划程序库中。

    新任务显示在任务计划程序库中。

    显示上次运行脚本的时间和下次计划运行的时间。 可以双击任务进行编辑。

    还可以验证脚本上次在合规中心相应 HR 连接器的浮出控件页上运行的时间。

(可选) 步骤 7:使用 Power Automate 模板上传数据

可以使用 Power Automate 模板上传 HR 数据并定义触发器。 例如,可以将 Power Automate 模板配置为在 SharePoint 或 OneDrive 位置中提供新的 HR 连接器文件时触发。 还可以通过存储机密信息(例如在 Azure 密钥保管库的步骤 2) 中创建Microsoft Entra应用程序机密 ()并将其与 Power Automate 一起使用进行身份验证来简化此过程。

完成以下步骤,在新文件在 OneDrive for Business 上可用时自动上传 HR 数据:

  1. GitHub 站点下载 ImportHRDataforIRM.zip 包。

  2. Power Automate 中,导航到 “我的流”。

  3. 选择“ 导入 ”并上传 ImportHRDataforIRM.zip 包。

  4. 上传包后,更新内容 (名称 & OneDrive for Business 连接) ,然后选择“导入”。

    Power Automate 流导入。

  5. 选择“ 打开流 ”并更新参数。 下表介绍了在此 Power Automate Flow 中使用的参数及其所需值。 在前面的步骤中获取的信息用于这些参数的值中。

    参数 说明
    应用程序 ID 这是在步骤 2 Microsoft Entra ID 中创建的应用Microsoft Entra应用程序 ID。 当脚本尝试访问 Microsoft 365 组织时,Microsoft Entra ID使用此脚本进行身份验证。
    应用机密 这是在步骤 2 Microsoft Entra ID 中创建的应用Microsoft Entra应用程序机密。 这用于身份验证。
    文件位置 这是 Power Automate 监视“新建文件创建”活动以触发此流的OneDrive for Business位置。
    作业 ID 步骤 3 中创建的 HR 连接器的标识符。 这用于将上传到 Microsoft 云的 HR 数据与 HR 连接器相关联。
    租户 ID 在步骤 2 中获取的 Microsoft 365 组织的标识符。 还可以在Microsoft Entra 管理中心的“概述”边栏选项卡上获取组织的租户 ID。 这用于标识组织。
    URI 验证此参数的值是否为 https://webhook.ingestion.office.com/api/signals

    Power Automate 流。

  6. 选择“保存”

  7. 导航到 “流概述 ”,然后选择“ 打开”。

    打开 Power Automate 流。

  8. 通过将新文件上传到 OneDrive for Business 文件夹来手动测试流,并验证它是否成功运行。 上传后可能需要几分钟才能触发流。

    Power Automate 流测试。

  9. 现在可以监视 HR 连接器,如 步骤 5 中所述。

如果需要,可以更新流,以基于 SharePoint 和 Power Automate Flow 支持的其他数据源上的文件可用性和修改事件创建触发器。

现有 HR 连接器

2021 年 12 月 13 日,我们发布了 HR 连接器的员工个人资料数据方案。 如果你在此日期之前创建了 HR 连接器,我们将迁移现有实例或组织的 HR 连接器,以便将 HR 数据继续导入到 Microsoft 云中。 无需执行任何操作即可维护此功能。 可以在不中断的情况下继续使用这些连接器。

如果要实现员工个人资料数据方案,请创建新的 HR 连接器并根据需要对其进行配置。 创建新的 HR 连接器后,使用新连接器的作业 ID 和 CSV 文件运行脚本,其中包含本文前面所述的 员工配置文件数据