针对员工生命周期自动化的 Microsoft Entra ID 治理部署指南

部署方案是有关如何合并和测试Microsoft安全产品和服务的指导。 你可以了解功能如何协同工作,以提高工作效率,增强安全性,并更轻松地满足合规性和法规要求。

本指南中显示了以下产品和服务:

使用此方案帮助确定您是否需要 Microsoft Entra ID Governance 来为组织创建和授予访问权限。 了解如何通过员工生命周期自动化有效地、安全且一致地预配用户。

时间线

时间线显示大致的交付阶段持续时间,并基于方案复杂性。 时间是估计值,具体取决于环境。

  1. 人力资源预配 - 3小时
  2. 软件即服务 (SaaS) 应用预配 - 1 小时
  3. 生命周期工作流 - 3 小时

员工生命周期自动化

为了简化员工标识管理,组织正在采用新式解决方案和自动化。 借助标识管理系统和技术,IT 人员可以克服有限的手动过程,并提高效率。

Microsoft Entra ID 治理

借助 Microsoft Entra ID 治理解决方案,组织可提高工作效率,增强安全性,并满足合规性和法规要求。 使用 Microsoft Entra ID Governance 确保适当的人员在正确的时间有权访问正确的资源。 详细了解 Microsoft Entra ID 治理 用例文档

详细了解 Microsoft Entra ID

HR 驱动的预配

HR 驱动的预配基于人力资源 (HR) 系统创建数字标识,成为授权来源。 此阶段是许多预配过程的起点。

在视频中详细了解 如何使用 Microsoft Entra ID 进行 HR 驱动的预配

云 HR 到 Microsoft Entra ID

用户在 Microsoft Entra ID 和其他支持用户预配的 SaaS 应用中创建。 在云端 HR 系统中更新员工记录时,用户帐户会同步更新到 Microsoft Entra ID 和支持的 SaaS 应用程序。

将 Workday 部署到 Microsoft Entra ID

  1. 选择云端人力资源预配连接应用程序
  2. 设计预配拓扑
  3. 在 Workday 中配置集成系统用户
  4. 启用 Workday 预配连接器
  5. 启动 Workday 和Microsoft Entra ID 属性映射
  6. 在 Azure AD 中配置 Workday 的写回功能(可选)。
  7. 启用和启动预配

在有关 使用 Workday 进行 HR 驱动的用户预配的视频中了解详细信息。

将 SuccessFactors 部署到 Microsoft Entra ID

  1. 选择云端人力资源预配连接应用程序
  2. 设计预配拓扑
  3. 在 SuccessFactors 中创建 API 用户帐户
  4. 在 SuccessFactors 中创建 API 权限
  5. 添加 SuccessFactors 入站连接器应用
  6. 配置 SuccessFactors 属性映射
  7. 可选) 配置从 Entra ID 到 SAP SuccessFactors 的属性写回
  8. 启用和启动预配

在视频中了解有关 使用 SuccessFactors 进行 HR 驱动的用户预配的详细信息。

云 HR 到 Active Directory

使用以下视频了解本地 Active Directory 的 API 驱动的入站预配。

将 Workday 部署到 Active Directory

  1. 选择云端人力资源预配连接应用程序
  2. 设计预配拓扑
  3. 在 Workday 中配置集成系统用户
  4. 预配连接器应用和预配代理
  5. 安装和配置本地代理
  6. 配置与 Workday 和 Active Directory 的连接
  7. 配置属性映射
  8. 启用和启动用户预配

将 SuccessFactors 部署到 Active Directory

  1. 选择云端人力资源预配连接应用程序
  2. 设计预配拓扑
  3. 在 Workday 中配置集成系统用户
  4. SuccessFactors 入站预配应用和代理
  5. 安装本地代理
  6. 配置与 AD 的应用连接
  7. 配置属性映射
  8. 启用和启动用户预配

API 驱动的预配

Microsoft Entra ID 中的标识数据与记录系统中管理的员工数据保持同步:HR 应用、工资应用、电子表格、本地数据库或云中的 SQL 表。 使用应用程序编程接口 (API)驱动的入站预配,Microsoft Entra 预配服务支持与记录系统的集成。

了解详细信息:

API 驱动的预配方案

IT 团队使用自动化导入数据提取。 独立软件供应商 (ISV) 与 Microsoft Entra ID 集成。 系统集成商构建记录系统的连接器。 此过程通常用于平面文件、CSV 文件、SQL 暂存表等源。 集成自动化工具:PowerShell 脚本、Azure 逻辑应用以及通过 HTTP 调用的工作流。

配置 API 驱动的预配

可以了解如何配置 API 驱动的入站预配。 

比较:入站预配 /bulkUpload API 和 Microsoft Graph Users API

建议注意预配 /bulkUpload API 与 Microsoft Graph Users API 终结点之间的差异:有效负载格式、操作结果和 IT 管理员保留控制权。

在常见问题解答中,了解 新的入站预配 API 与图形用户 API 有何不同

部署 API 驱动的入站预配

  1. 创建 API 驱动的预配应用
  2. 对于 Active Directory请配置 API 驱动的入站预配应用。 对于 Microsoft Entra ID请配置 API 驱动的入站预配应用
  3. 授予对入站预配 API 的访问权限
  4. 自定义用户预配属性映射
  5. 同步自定义属性

若要了解详细信息,请参阅以下有关 API 驱动的入站预配的快速入门指南:

出站应用预配

可以使用跨域标识管理系统(SCIM)为软件即服务(SaaS)应用进行预配。

详细了解 使用 Microsoft Entra ID 进行 SCIM 同步

使用 SCIM 终结点配置预配

SCIM 2.0 是两个终结点 /Users/Groups 的标准化定义。

请参阅本教程中的更多详细信息,在 Microsoft Entra ID 中开发和规划 SCIM 终结点的预配

部署 SaaS 示例应用预配

Microsoft Entra ID 应用程序库显示可用于用户预配的应用。 为环境选择最多四个应用,或从这些常用应用中进行选择,以启用自动用户预配:

(可选)预配到本地应用

云中定义的用户和架构支持从自定义架构扩展预配到特定于应用的属性。

若要了解详细信息,请转到 已启用 SCIM 的应用的应用预配示例

生命周期工作流

生命周期工作流是一项标识治理功能,通过为员工自动执行 Joiner、Mover 和 Leaver 事件来管理 Microsoft Entra 用户。 使用该功能可计划事件之前、期间或之后的任务。 工作流可以按需运行。 使用内置任务,可以生成临时凭据、发送电子邮件、更新用户属性和成员身份以及删除许可证。

生命周期工作流 API 概述中了解详细信息。

入职者

入职者是需要访问权限的个人。 载入新员工时,使用模板和工作流使流程更高效、更快。

搬运工

换岗者是组织内跨部门调动的个人,例如,员工从“销售”中的某个角色转到“市场营销”中的角色。 移动可能需要更多或不同的访问权限和授权。

离职者

离职者不再需要访问权限,例如被解雇或已退休的员工。 有效的 Leaver 工作流可降低终止后未经授权的数据访问的风险。 因此,按照法规和政策处理 Leaver 个人信息。 使用可自定义的工作流模板,及时、可靠且优雅地删除资源访问。

删除应用程序访问权限

Microsoft Entra ID 预配服务使源系统和目标系统保持同步。在用户访问必须结束时取消预配帐户。

  1. 从一个或多个应用程序取消分配用户。

  2. 从 Microsoft Entra ID 中删除帐户。

  3. AccountEnabled 属性设置为 False

    注释

    如果应用程序支持该过程,则可以默认软删除用户。

生命周期工作流自定义扩展

使用自定义扩展使用 Azure 逻辑应用等工具创建工作流。 对于工作流,可以启用自定义任务扩展来调用外部系统。 例如,带有自定义任务扩展的 Joiner 工作流分配了一个 Microsoft Teams 号码。 或者,当用户成为 Leaver 时,单独的工作流会向其经理授予对电子邮件帐户的访问权限。 可以了解如何 基于自定义任务扩展触发逻辑应用

注释

若要创建用于托管的逻辑应用资源,请选择“ 消耗”。 消费逻辑应用有一个在多租户 Azure Logic Apps 中运行的工作流。

若要了解详细信息,请参阅 应用服务环境概述Azure 逻辑应用文档

部署生命周期工作流

  1. 同步属性
  2. 准备用户帐户
  3. 自动化员工入职前任务
  4. 自动载入新员工
  5. 自动化入职后流程
  6. 实时员工更改
  7. 实时员工解雇
  8. 员工组成员身份更改
  9. 员工职位简介变更
  10. 自动预退
  11. 自动卸载
  12. 自动化离职后管理
  13. 使用自定义扩展触发逻辑应用

支持的任务和工作流

该表根据 Joiner、Mover、Leaver 状态列出任务和工作流。

类别 任务和工作流
入职者 向新员工发送欢迎电子邮件
入职者 发送载入提醒电子邮件
入职者 生成临时访问通行证 (TAP) 并将其通过电子邮件发送给新员工经理
搬运工 向经理发送有关用户移动的通知电子邮件
入职者、换岗者 请求用户访问包分配
Joiner、Mover、Leaver 将用户添加到组
Joiner、Mover、Leaver 将用户添加到团队
入职者、离职者 启用用户帐户
Joiner、Mover、Leaver 运行自定义任务扩展
离职者 禁用用户帐户
Joiner、Mover、Leaver 从组中删除用户
离职者 从所有组中删除用户
离职者 从团队中删除用户
离职者 从所有团队中删除用户
离职者、迁移者 删除用户访问包分配
离职者 删除所有用户访问包分配
离职者 取消所有挂起的用户访问包分配请求
离职者 删除所有用户许可证分配
离职者 删除用户
离职者 在最后一天之前向用户的经理发送电子邮件
离职者 在最后一天向用户的经理发送电子邮件
离职者 在最后一天之后向用户的经理发送电子邮件

后续步骤