生命周期工作流内置任务
生命周期工作流附带许多预配置的任务,这些任务旨在自动执行常见的生命周期管理方案。 这些内置任务可用于使自定义工作流符合组织的需求。 可以在几秒钟内配置这些任务以创建新工作流。 这些任务还具有基于 Joiner-Mover-Leaver 模型的类别,以便可以根据需求轻松地将其置于工作流中。 在这篇文章中,你将获得完整的任务列表、每个任务的常用参数信息,以及每个特定任务所需的唯一参数列表。
受支持的任务
生命周期工作流的内置任务包括标识符(称为 taskDefinitionID),可用于从头开始创建新工作流或插入工作流模板,以便它们符合组织的需求。 有关可用于生命周期工作流的模板的详细信息,请参阅:生命周期工作流模板。
注意
生命周期工作流通过自动化例程来增强Microsoft Entra ID 治理HR驱动的预配。 虽然 HR 预配管理用户帐户的创建和属性更新,但生命周期工作流提供额外的任务自动化。
当前,生命周期工作流支持以下任务:
| 任务 | taskdefinitionID | 类别 | Active Directory 兼容性 |
|---|---|---|---|
| 向新员工发送欢迎电子邮件 | 70b29d51-b59a-4773-9280-8841dfd3f2ea | 入职者 | |
| 发送入职提醒电子邮件 | 3C860712-2D37-42A4-928F-5C93935D26A1 | 入职者 | |
| 生成临时访问密码,通过电子邮件发送给用户的管理员 | 1b555e50-7f65-41d5-b514-5894a026d10d | 入职者 | |
| 发送电子邮件以通知经理用户发生了调动 | aab41899-9972-422a-9d97-f626014578b7 | Mover | |
| 请求用户访问包分配 | c1ec1e76-f374-4375-aaa6-0bb6bd4c60be | Joiner、Mover | |
| 将许可证分配给用户 | 683c87a4-2ad4-420b-97d4-220d90afcd24 | Joiner、Mover | |
| 将用户添加到组 | 22085229-5809-45e8-97fd-270d28d66910 | Joiner、Leaver、Mover | |
| 将用户添加到团队 | e440ed8d-25a1-4618-84ce-091ed5be5594 | Joiner、Leaver、Mover | |
| 启用用户帐户 | 6fc52c9d-398b-4305-9763-15f42c1676fc | 加入者,离职者 | |
| 运行自定义任务扩展 | 4262b724-8dba-4fad-afc3-43fcbb497a0e | Joiner、Leaver、Mover | |
| 禁用用户帐户 | 1dfdfcc7-52fa-4c2e-bf3a-e3919cc12950 | 离职者 | |
| 从所选组中移除用户 | 1953a66c-751c-45e5-8bfe-01462c70da3c | Joiner、Leaver、Mover | |
| 从所有组中删除用户 | b3a31406-2a15-4c9a-b25b-a658fa5f07fc | 离职者 | |
| 从团队中删除用户 | 06aa7acb-01af-4824-8899-b14e5ed788d6 | 离职者 | |
| 从所有团队中删除用户 | 81f7b200-2816-4b3b-8c5d-dc556f07b024 | 离职者 | |
| 移除用户的访问包分配 | 4a0b64f2-c7ec-46ba-b117-18f262946c50 | Leaver、Mover | |
| 移除用户的所有访问包分配 | 42ae2956-193d-4f39-be06-691b8ac4fa1d | 离职者 | |
| 取消用户的所有挂起的访问包分配请求 | 498770d9-bab7-4e4c-b73d-5ded82a1d0b3 | 离职者 | |
| 删除用户的所选许可证分配 | 5fc402a8-daaf-4b7b-9203-da868b05fc5f | Leaver、Mover | |
| 从用户中删除所有许可证分配 | 8fa97d28-3e52-4985-b3a9-a1126f9b8b4e | 离职者 | |
| 删除用户 | 8d18588d-9ad3-4c0f-99d0-ec215f0e3dff | 离职者 | |
| 在用户的最后一天之前向经理发送电子邮件 | 52853a3e-f4e5-4eb8-bb24-1ac09a1da935 | 离职者 | |
| 在用户的最后一天发送电子邮件 | 9c0a1eaf-5bda-4392-9d9e-6e155bb57411 | 离职者 | |
| 在用户最后一天之后向其经理发送电子邮件 | 6f22ddd4-b3a5-47a4-a846-0d7c201a49ce | 离职者 |
常见任务参数
常见任务参数是每个任务中包含的非唯一参数。 将任务添加到新工作流或工作流模板时,可以自定义和配置这些参数,使其符合要求。
| 参数 | 定义 |
|---|---|
| category | 标识任务的一个或多个类别的只读字符串。 在选择 taskDefinitionID 时自动确定。 |
| taskDefinitionId | 引用 taskDefinition 的字符串,用于确定要运行的任务。 |
| isEnabled | 一个指示任务是否设置为运行的布尔值。 如果设置为“true”,则任务将运行。 默认为 true。 |
| displayName | 标识任务的唯一字符串。 |
| description | 描述任务用途的字符串,以供管理使用。 (可选) |
| executionSequence | 一个只读整数,说明任务在工作流中运行的顺序。 |
| continueOnError | 一个布尔值,该值确定此任务的失败是否阻止后续工作流运行。 |
| 参数 | 包含与给定任务相关的唯一参数。 |
常见电子邮件任务参数
可以自定义从任务发送的电子邮件。 如果选择自定义电子邮件,可以设置以下参数:
- 主题: 自定义电子邮件的主题。
- 邮件正文: 自定义要发送的电子邮件的正文。
- 电子邮件语言翻译: 替代电子邮件收件人的语言设置。 不自定义自定义文本,建议将此语言设置为与自定义文本相同的语言。
有关此流程的分步指南,请参阅:自定义工作流任务发送的电子邮件。
电子邮件中的动态属性
使用自定义电子邮件,可以在主题和正文内包含动态属性,从而个性化这些电子邮件。 可包含的动态属性列表如下所示:
| 属性 | 定义 |
|---|---|
| userDisplayName | 用户的显示名称。 |
| userEmployeeHireDate | 用户的员工聘用日期。 |
| userEmployeeLeaveDateTime | 用户的员工离职日期时间。 |
| managerDisplayName | 用户经理的显示名称。 |
| temporaryAccessPass | 生成的临时访问密码。 仅适用于 生成 TAP 和发送电子邮件 任务。 |
| userPrincipalName | 用户的 userPrincipalName。 |
| managerEmail | 经理的电子邮件。 |
| userSurname | 用户的姓氏。 |
| userGivenName | 用户的名字。 |
注意
将这些属性添加到自定义电子邮件或主题时,必须正确嵌入它们。 有关执行此操作的分步指南,请参阅:设置自定义电子邮件内属性的格式。
任务详细信息
本部分包含每个特定任务及其成功运行所需的参数和先决条件等详细信息。 参数在 Microsoft Entra 管理中心和 Microsoft Graph 中同时显示时,会注明。 有关常规编辑生命周期工作流任务的信息,请参阅:管理工作流版本。
向新员工发送欢迎电子邮件
生命周期工作流允许自动向组织中的新员工发送欢迎电子邮件。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
运行“向新员工发送欢迎电子邮件”任务的 Microsoft Entra 先决条件为:
- 用户填充的邮件属性。
对于 Microsoft Graph,“向新员工发送欢迎电子邮件”任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 入职者 |
| displayName | 发送欢迎电子邮件(用户可进行自定义) |
| description | 向新员工发送欢迎电子邮件(用户可进行自定义) |
| taskDefinitionId | 70b29d51-b59a-4773-9280-8841dfd3f2ea |
| 参数 | 可指定可选的常见电子邮件任务参数;如果不包括这些参数,则默认行为生效。 |
工作流中的用法示例:
{
"category": "joiner",
"continueOnError": false,
"description": "Send welcome email to new hire",
"displayName": "Send Welcome Email",
"isEnabled": true,
"taskDefinitionId": "70b29d51-b59a-4773-9280-8841dfd3f2ea",
"arguments": [
{
"name": "cc",
"value": "e94ad2cd-d590-4b39-8e46-bb4f8e293f85,ac17d108-60cd-4eb2-a4b4-084cacda33f2"
},
{
"name": "customSubject",
"value": "Welcome to the organization {{userDisplayName}}!"
},
{
"name": "customBody",
"value": "Welcome to our organization {{userGivenName}} {{userSurname}}.\n\nFor more information, reach out to your manager {{managerDisplayName}} at {{managerEmail}}."
},
{
"name": "locale",
"value": "en-us"
}
]
}
发送入职提醒电子邮件
通过生命周期工作流,可自动向组织中新员工的经理发送入职提醒电子邮件。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
运行“发送加入提醒电子邮件”任务的 Microsoft Entra 先决条件为:
- 用户填充的经理属性。
- 用户填充的经理的电子邮件属性。
对于 Microsoft Graph,“发送入职提醒电子邮件”任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 入职者 |
| displayName | 发送入职提醒电子邮件(可由用户自定义) |
| description | 向用户的经理发送入职提醒电子邮件(可由用户自定义) |
| taskDefinitionId | 3C860712-2D37-42A4-928F-5C93935D26A1 |
| 参数 | 可指定可选的常见电子邮件任务参数;如果不包括这些参数,则默认行为生效。 |
工作流中的用法示例:
{
"category": "joiner",
"continueOnError": false,
"description": "Send onboarding reminder email to user\u2019s manager",
"displayName": "Send onboarding reminder email",
"isEnabled": true,
"taskDefinitionId": "3C860712-2D37-42A4-928F-5C93935D26A1",
"arguments": [
{
"name": "cc",
"value": "e94ad2cd-d590-4b39-8e46-bb4f8e293f85,068fa0c1-fa00-4f4f-8411-e968d921c3e7"
},
{
"name": "customSubject",
"value": "Reminder: {{userDisplayName}} is starting soon"
},
{
"name": "customBody",
"value": "Hello {{managerDisplayName}}\n\nthis is a reminder that {{userDisplayName}} is starting soon.\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}
生成临时访问密码,通过电子邮件发送给用户的管理员
Microsoft Entra 允许你使用 临时访问密码(TAP) 为用户设置无密码凭据。 你还可以使用 Microsoft Entra 自助式密码重置 设置常规密码。 通过这项任务,生命周期工作流可自动生成临时访问密码 (TAP),并将其发送给新用户的管理者。 还可以自定义发送给用户经理的电子邮件。
注意
用户的员工雇佣日期用作临时访问密码的开始时间。 请确保已适当设置 TAP 生存期任务设置和用户雇佣日期的时间部分,以便在用户开始其第一天时 TAP 仍然有效。 如果在工作流执行时雇用日期已经过去,则会将当前时间用作开始时间。
此任务出现在 Microsoft Entra 管理中心后,你可以为任务提供名称和说明。 还必须设置:
- 激活持续时间 - 密码处于活动状态的时间长度。
- 一次性使用 - 如果密码只能使用一次。
运行“生成临时访问密码并通过电子邮件将其发送给用户的管理员”任务的 Microsoft Entra 先决条件如下:
- 用户填充的经理属性。
- 用户填充的经理的电子邮件属性。
- 必须启用 TAP 租户策略,并且为“激活持续时间”和“一次性使用”所选的值必须在策略的允许范围内。 有关详细信息,请参阅启用临时访问密码
重要
在工作流中为其运行此任务的用户还必须没有任何其他身份验证方法、登录或 Microsoft Entra 角色分配,才能使此任务正常工作。
对于 Microsoft Graph,“生成临时访问密码并通过电子邮件将其发送给用户的管理员”这一任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 入职者 |
| displayName | 生成 TAPAndSendEmail(用户可进行自定义) |
| description | 生成临时访问密码并通过电子邮件将其发送给用户的管理员(用户可进行自定义) |
| taskDefinitionId | 1b555e50-7f65-41d5-b514-5894a026d10d |
| 参数 | 参数包含名称参数“tapLifetimeInMinutes”,该参数是从 startDateTime 开始的 temporaryAccessPass 的生存期(以分钟为单位)。 最短 10 分钟,最长 43200 分钟(相当于 30 天)。 该参数还包含 tapIsUsableOnce 参数,可确定密码是否限制为一次性使用。 如果为 true,则密码可以使用一次;如果为 false,则密码可以在 temporaryAccessPass 生存期内多次使用。 此外,可以指定可选的常见电子邮件任务参数;如果不包含这些参数,则默认行为将生效。 |
工作流中的用法示例:
{
"category": "joiner",
"continueOnError": false,
"description": "Generate Temporary Access Pass and send via email to user's manager",
"displayName": "Generate TAP and Send Email",
"isEnabled": true,
"taskDefinitionId": "1b555e50-7f65-41d5-b514-5894a026d10d",
"arguments": [
{
"name": "tapLifetimeMinutes",
"value": "480"
},
{
"name": "tapIsUsableOnce",
"value": "false"
},
{
"name": "cc",
"value": "068fa0c1-fa00-4f4f-8411-e968d921c3e7,9d208c40-7eb6-46ff-bebd-f30148c39b47"
},
{
"name": "customSubject",
"value": "Temporary access pass for your new employee {{userDisplayName}}"
},
{
"name": "customBody",
"value": "Hello {{managerDisplayName}}\n\nPlease find the temporary access pass for your new employee {{userDisplayName}} below:\n\n{{temporaryAccessPass}}\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}
发送电子邮件以通知经理用户发生了调动
当用户在组织内发生调动时,生命周期工作流允许你向用户管理员发送电子邮件,通知他们该调动情况。 还可以自定义发送给用户经理的电子邮件。
运行发送电子邮件以通知管理员用户发生了调动任务的 Microsoft Entra 先决条件为:
- 用户填充的经理属性。
- 用户填充的经理的电子邮件属性。
对于 Microsoft Graph,“发送电子邮件以通知经理用户发生了调动”任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | Mover |
| displayName | 发送电子邮件以通知经理用户发生了调动(可由用户自定义) |
| description | 发送电子邮件以通知用户的经理用户发生了调动(可由用户自定义) |
| taskDefinitionId | aab41899-9972-422a-9d97-f626014578b7 |
| 参数 | 可以指定可选的常见电子邮件任务参数;如果不包含这些参数,则默认行为将生效。 |
工作流中的用法示例:
{
"category": "mover",
"continueOnError": false,
"description": "Send email to notify user\u2019s manager of user move",
"displayName": "Send email to notify manager of user move",
"isEnabled": true,
"taskDefinitionId": "aab41899-9972-422a-9d97-f626014578b7",
"arguments": [
{
"name": "cc",
"value": "ac17d108-60cd-4eb2-a4b4-084cacda33f2,7d3ee937-edcc-46b0-9e2c-f832e01231ea"
},
{
"name": "customSubject",
"value": "{{userDisplayName}} has moved"
},
{
"name": "customBody",
"value": "Hello {{managerDisplayName}}\n\nwe are reaching out to let you know {{userDisplayName}} has moved in the organization.\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}
请求用户访问包分配
允许你为用户请求访问包分配。 如果为访问包配置了审批流程,并且应执行审批流程,则必须选择加入权利管理设置“Enforce policy approval setting for admin direct assignments”。 有关访问包的详细信息,请参阅什么是访问包,可以使用它们管理哪些资源?。
你可以自定义此任务的任务名称和说明。 还必须选择用户请求的访问包和策略。
对于 Microsoft Graph,“请求用户访问包分配”任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 入职者,换岗者 |
| displayName | 请求用户访问包分配(可由用户自定义) |
| description | 请求将用户分配到所选访问包(可由用户自定义) |
| taskDefinitionId | c1ec1e76-f374-4375-aaa6-0bb6bd4c60be |
| 参数 | 参数包含两个名称参数,即“assignmentPolicyId”和“accessPackageId”。 |
工作流中的用法示例:
{
"category": "joiner,mover",
"continueOnError": false,
"description": "Request user assignment to selected access package",
"displayName": "Request user access package assignment",
"isEnabled": true,
"taskDefinitionId": "c1ec1e76-f374-4375-aaa6-0bb6bd4c60be",
"arguments": [
{
"name": "assignmentPolicyId",
"value": "00d6fd25-6695-4f4a-8186-e4c6f901d2c1"
},
{
"name": "accessPackageId",
"value": "2ae5d6e5-6cbe-4710-82f2-09ef6ffff0d0"
}
]
}
将许可证分配给用户
允许将许可证分配给用户。 若要向用户分配许可证,他们必须具有“usageLocation”属性集。
| 参数 | 定义 |
|---|---|
| category | 入职者,换岗者 |
| displayName | 向用户分配许可证(用户可进行自定义) |
| description | 向用户分配所选的许可证(用户可进行自定义) |
| taskDefinitionId | 683c87a4-2ad4-420b-97d4-220d90afcd24 |
| 参数 | 自变量包含一个名为“licenses”的参数,该参数接受“Sku ID”值。 有关这些值的完整列表,请参阅用于许可的产品名称和服务计划标识符。 |
工作流中的用法示例:
{
"category": "joiner,mover",
"continueOnError": false,
"description": "Assign selected licenses to the user",
"displayName": "Assign licenses to user",
"isEnabled": true,
"taskDefinitionId": "683c87a4-2ad4-420b-97d4-220d90afcd24",
"arguments": [
{
"name": "licenses",
"value": "a403ebcc-fae0-4ca2-8c8c-7a907fd6c235"
}
]
}
将用户添加到组
允许将用户添加到 Microsoft 365 和仅限云的安全组。 不支持已启用邮件的组、分发组、动态组以及可分配角色的组。 若要控制对本地基于 AD 组的应用程序和资源的访问,需要启用组写回。 有关详细信息,请参阅 Microsoft Entra 云同步组写回和将组写回与权利管理配合使用。
可以自定义此任务的任务名称和说明。
对于 Microsoft Graph,“将用户添加到组”任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 加入者,离职者 |
| displayName | AddUserToGroup(用户可进行自定义) |
| description | 将用户添加到组(用户可进行自定义) |
| taskDefinitionId | 22085229-5809-45e8-97fd-270d28d66910 |
| 参数 | 参数包含一个名称参数“groupID”和一个值参数(即,要将用户添加到的组的 ID)。 |
{
"category": "joiner,leaver",
"description": "Add user to groups",
"displayName": "AddUserToGroup",
"isEnabled": true,
"continueOnError": true,
"taskDefinitionId": "22085229-5809-45e8-97fd-270d28d66910",
"arguments": [
{
"name": "groupID",
"value": "0732f92d-6eb5-4560-80a4-4bf242a7d501"
}
]
}
将用户添加到团队
你可以将用户添加到现有静态团队。 可以自定义此任务的任务名称和说明。
对于 Microsoft Graph,“将用户添加到团队”任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 加入者,离职者 |
| displayName | AddUserToTeam(用户可进行自定义) |
| description | 将用户添加到团队(用户可进行自定义) |
| taskDefinitionId | e440ed8d-25a1-4618-84ce-091ed5be5594 |
| 参数 | 参数包含一个名称参数“teamID”和一个值参数(即,要将用户添加到的现有团队的团队 ID)。 |
{
"category": "joiner,leaver",
"description": "Add user to team",
"displayName": "AddUserToTeam",
"isEnabled": true,
"continueOnError": true,
"taskDefinitionId": "e440ed8d-25a1-4618-84ce-091ed5be5594",
"arguments": [
{
"name": "teamID",
"value": "e3cc382a-c4b6-4a8c-b26d-a9a3855421bd"
}
]
}
启用用户帐户
允许启用用户帐户。 有关为已同步的本地用户运行此任务的先决条件,请参阅:用户帐户任务。 不支持具有 Microsoft Entra 角色分配的用户,也不支持具有可分配角色的组的成员身份或所有权的用户。 还可以利用 Microsoft Entra ID 的 HR 驱动的本地 Active Directory 预配来禁用和启用同步帐户,并且属性根据 HR 源中的数据映射到 accountDisabled。 有关详细信息,请参阅:Workday 配置属性映射和 SuccessFactors 配置属性映射。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“启用用户帐户”任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 加入者,离职者 |
| displayName | EnableUserAccount(用户可进行自定义) |
| description | 启用用户帐户(用户可进行自定义) |
| taskDefinitionId | 6fc52c9d-398b-4305-9763-15f42c1676fc |
| 参数 | 可以包含可选的 enableOnPremisesAccount 参数。 如果希望为已同步的本地用户运行任务,则该值为布尔值 true,如果不希望为已同步的本地用户运行,则为 false。 |
{
"category": "joiner,leaver",
"description": "Enable user account",
"displayName": "EnableUserAccount",
"isEnabled": true,
"continueOnError": true,
"taskDefinitionId": "6fc52c9d-398b-4305-9763-15f42c1676fc",
"arguments": [
{
"name": "enableOnPremisesAccount",
"value": "true"
}
]
}
运行自定义任务扩展
可以将工作流配置为启动自定义任务扩展。 可以使用 Microsoft Entra 管理中心自定义此任务的任务名称和说明。
“运行自定义任务扩展任务”任务的 Microsoft Entra 先决条件为:
- 与自定义任务扩展兼容的逻辑应用。 有关详细信息,请参阅:生命周期工作流扩展性。
对于 Microsoft Graph,“运行自定义任务扩展”这一任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 加入者,离职者 |
| displayName | 运行自定义任务扩展(用户可进行自定义) |
| description | 运行自定义任务扩展以调用外部系统。 (用户可进行自定义) |
| taskDefinitionId | d79d1fcc-16be-490c-a865-f4533b1639ee |
| 参数 | 参数包含一个名称参数“customTaskExtensionID”和一个值参数(即,之前创建的扩展的 ID,其中包含逻辑应用的相关信息)。 |
{
"category": "joiner,leaver",
"description": "Run a Custom Task Extension to call-out to an external system.",
"displayName": "Run a Custom Task Extension",
"isEnabled": true,
"continueOnError": true,
"taskDefinitionId": "d79d1fcc-16be-490c-a865-f4533b1639ee",
"arguments": [
{
"name": "customTaskExtensionID",
"value": "<ID of your Custom Task Extension>"
}
]
}
有关设置逻辑应用以运行生命周期工作流的详细信息,请参阅:使用自定义生命周期工作流任务触发逻辑应用。
禁用用户帐户
允许禁用用户帐户。 有关为已同步的本地用户运行此任务的先决条件,请参阅:用户帐户任务。 不支持具有 Microsoft Entra 角色分配的用户,也不支持具有可分配角色的组的成员身份或所有权的用户。 可以利用 Microsoft Entra ID 的 HR 驱动的本地 Active Directory 预配来禁用和启用同步帐户,并且属性根据 HR 源中的数据映射到 accountDisabled。 有关详细信息,请参阅:Workday 配置属性映射和 SuccessFactors 配置属性映射。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“禁用用户帐户”任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 加入者,离职者 |
| displayName | DisableUserAccount(用户可进行自定义) |
| description | 禁用用户帐户(用户可进行自定义) |
| taskDefinitionId | 1dfdfcc7-52fa-4c2e-bf3a-e3919cc12950 |
| 参数 | 可以包含可选的 disableOnPremisesAccount 参数。 如果希望为已同步的本地用户运行任务,则该值为布尔值 true,如果不希望为已同步的本地用户运行,则为 false。 |
{
"category": "joiner,leaver",
"description": "Disable user account",
"displayName": "DisableUserAccount",
"isEnabled": true,
"continueOnError": true,
"taskDefinitionId": "1dfdfcc7-52fa-4c2e-bf3a-e3919cc12950",
"arguments": [
{
"name": "disableOnPremisesAccount",
"value": "true"
}
]
}
从所选组中移除用户
允许从 Microsoft 365 和仅限云的安全组中移除用户。 不支持已启用邮件的组、分发组、动态组以及可分配角色的组。 若要控制对本地基于 AD 组的应用程序和资源的访问,需要启用组写回。 有关详细信息,请参阅 Microsoft Entra 云同步组写回和将组写回与权利管理配合使用。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“从所选组中删除用户”这一任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 离职者 |
| displayName | 从所选组中删除用户(用户可进行自定义) |
| description | 从所选 Microsoft Entra 组的成员身份中删除用户(用户可进行自定义) |
| taskDefinitionId | 1953a66c-751c-45e5-8bfe-01462c70da3c |
| 参数 | 参数包含一个名称参数“groupID”和一个值参数(即,要从中移动用户的一个或多个组的 ID)。 |
{
"category": "leaver",
"displayName": "Remove user from selected groups",
"description": "Remove user from membership of selected Azure AD groups",
"isEnabled": true,
"continueOnError": true,
"taskDefinitionId": "1953a66c-751c-45e5-8bfe-01462c70da3c",
"arguments": [
{
"name": "groupID",
"value": "GroupId1, GroupId2, GroupId3, ..."
}
]
}
从所有组中删除用户
允许将用户从他们所属的每个 Microsoft 365 和仅限云的安全组中移除。 不支持已启用邮件的组、分发组、动态组以及可分配角色的组。 若要控制对本地基于 AD 组的应用程序和资源的访问,需要启用组写回。 有关详细信息,请参阅 Microsoft Entra 云同步组写回。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“从所有组中删除用户”这一任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 离职者 |
| displayName | 从所有组中删除用户(用户可进行自定义) |
| description | 从所有 Microsoft Entra 组成员身份中删除用户(用户可进行自定义) |
| taskDefinitionId | b3a31406-2a15-4c9a-b25b-a658fa5f07fc |
{
"category": "leaver",
"continueOnError": true,
"displayName": "Remove user from all groups",
"description": "Remove user from all Azure AD groups memberships",
"isEnabled": true,
"taskDefinitionId": "b3a31406-2a15-4c9a-b25b-a658fa5f07fc",
"arguments": []
}
从团队中删除用户
允许从一个或多个静态团队中删除用户。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“从团队中删除用户”这一任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 加入者,离职者 |
| displayName | 从所选团队中删除用户(用户可进行自定义) |
| description | 从所选团队的成员身份中删除用户(用户可进行自定义) |
| taskDefinitionId | 06aa7acb-01af-4824-8899-b14e5ed788d6 |
| 参数 | 参数包含一个名称参数“teamID”和一个值参数(即,要从其中删除用户的团队的团队 ID)。 |
{
"category": "joiner,leaver",
"continueOnError": true,
"displayName": "Remove user from selected Teams",
"description": "Remove user from membership of selected Teams",
"isEnabled": true,
"taskDefinitionId": "06aa7acb-01af-4824-8899-b14e5ed788d6",
"arguments": [
{
"name": "teamID",
"value": "TeamId1, TeamId2, TeamId3, ..."
}
]
}
从所有团队中删除用户
允许将用户从其所属的每个静态团队中移除。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“从所有团队中删除用户”这一任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 离职者 |
| displayName | 从所有团队成员身份中删除用户(用户可进行自定义) |
| description | 从所有团队中删除用户(用户可进行自定义) |
| taskDefinitionId | 81f7b200-2816-4b3b-8c5d-dc556f07b024 |
{
"category": "leaver",
"continueOnError": true,
"description": "Remove user from all Teams",
"displayName": "Remove user from all Teams memberships",
"isEnabled": true,
"taskDefinitionId": "81f7b200-2816-4b3b-8c5d-dc556f07b024",
"arguments": []
}
移除用户的访问包分配
允许你删除用户的访问包分配。 有关访问包的详细信息,请参阅什么是访问包,可以使用它们管理哪些资源?。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。 还需要选择要删除其分配的访问包。
对于 Microsoft Graph,“移除用户的访问包分配”任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 离职者,换岗者 |
| displayName | 移除用户的访问包分配(可由用户自定义) |
| description | 移除所选访问包的用户分配(可由用户自定义) |
| taskDefinitionId | 4a0b64f2-c7ec-46ba-b117-18f262946c50 |
| 参数 | 参数包含一个名称参数,即“accessPackageId”。 |
{
"category": "leaver,mover",
"continueOnError": false,
"description": "Remove user assignment of selected access package",
"displayName": "Remove access package assignment for user",
"isEnabled": true,
"taskDefinitionId": "4a0b64f2-c7ec-46ba-b117-18f262946c50",
"arguments": [
{
"name": "accessPackageId",
"value": "2ae5d6e5-6cbe-4710-82f2-09ef6ffff0d0"
}
]
}
移除用户的所有访问包分配
允许你删除用户的所有访问包分配。 有关访问包的详细信息,请参阅什么是访问包,可以使用它们管理哪些资源?。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“移除用户的所有访问包分配”任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 离职者 |
| displayName | 移除用户的所有访问包分配(可由用户自定义) |
| description | 移除分配给用户的所有访问包(可由用户自定义) |
| taskDefinitionId | 42ae2956-193d-4f39-be06-691b8ac4fa1d |
工作流中的用法示例:
{
"category": "leaver",
"continueOnError": false,
"description": "Remove all access packages assigned to the user",
"displayName": "Remove all access package assignments for user",
"isEnabled": true,
"taskDefinitionId": "42ae2956-193d-4f39-be06-691b8ac4fa1d",
"arguments": []
}
取消用户的所有挂起的访问包分配请求
允许你取消用户的所有挂起的访问包分配请求。 有关访问包的详细信息,请参阅什么是访问包,可以使用它们管理哪些资源?。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“取消用户的所有挂起的访问包分配请求”任务的参数如下:
| 参数 | 定义 |
|---|---|
| category | 离职者 |
| displayName | 取消用户的挂起的访问包分配请求(可由用户自定义) |
| description | 取消用户的所有挂起的访问包分配请求(可由用户自定义) |
| taskDefinitionId | 498770d9-bab7-4e4c-b73d-5ded82a1d0b3 |
工作流中的用法示例:
{
"category": "leaver",
"continueOnError": false,
"description": "Cancel all access package assignment requests pending for the user",
"displayName": "Cancel all pending access package assignment requests for user",
"isEnabled": true,
"taskDefinitionId": "498770d9-bab7-4e4c-b73d-5ded82a1d0b3",
"arguments": []
}
删除用户的所选许可证分配
删除用户的所选许可证分配。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“删除用户的所选许可证分配”任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 离职者,换岗者 |
| displayName | 删除用户的许可证(用户可进行自定义) |
| description | 删除分配给用户的所选许可证(用户可进行自定义) |
| taskDefinitionId | 5fc402a8-daaf-4b7b-9203-da868b05fc5f |
| 参数 | 自变量包含一个名为“licenses”的参数,该参数接受“Sku ID”值。 有关这些值的完整列表,请参阅用于许可的产品名称和服务计划标识符。 |
工作流中的用法示例:
{
"category": "leaver,mover",
"description": "Remove selected licenses assigned to the user",
"displayName": "Remove licenses from user",
"id": "5fc402a8-daaf-4b7b-9203-da868b05fc5f",
"version": 1,
"parameters": [
{
"name": "licenses",
"values": [],
"valueType": "string"
}
]
}
从用户中删除所有许可证分配
允许从用户中删除所有直接许可证分配。 对于基于组的许可证分配,你将运行一个任务来从许可证分配所属的组中删除用户。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“从用户中删除所有许可证分配”这一任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 离职者 |
| displayName | 删除用户的所有许可证(用户可进行自定义) |
| description | 删除分配给用户的所有许可证(用户可进行自定义) |
| taskDefinitionId | 8fa97d28-3e52-4985-b3a9-a1126f9b8b4e |
{
"category": "leaver",
"continueOnError": true,
"displayName": "Remove all licenses for user",
"description": "Remove all licenses assigned to the user",
"isEnabled": true,
"taskDefinitionId": "8fa97d28-3e52-4985-b3a9-a1126f9b8b4e",
"arguments": []
}
删除用户
允许删除用户帐户。 有关为已同步的本地用户运行此任务的先决条件,请参阅:用户帐户任务。 不支持具有 Microsoft Entra 角色分配的用户,也不支持具有可分配角色的组的成员身份或所有权的用户。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“删除用户”任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 离职者 |
| displayName | 删除用户帐户(用户可进行自定义) |
| description | 删除 Microsoft Entra ID 中的用户帐户(用户可进行自定义) |
| taskDefinitionId | 8d18588d-9ad3-4c0f-99d0-ec215f0e3dff |
| 参数 | 可以包含可选的 deleteOnPremisesAccount 参数。 如果希望为本地用户运行任务,则该值为布尔值 true,如果不希望为已同步的本地用户运行,则为 false。 |
{
"category": "leaver",
"continueOnError": true,
"displayName": "Delete user account",
"description": "Delete user account in Azure AD",
"isEnabled": true,
"taskDefinitionId": "8d18588d-9ad3-4c0f-99d0-ec215f0e3dff",
"arguments": [
{
"name": "deleteOnPremisesAccount",
"value": "true"
}
]
}
在用户的最后一天之前向经理发送电子邮件
允许在用户最后一天之前将电子邮件发送给用户的经理。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
运行在用户的最后一天之前发送电子邮件任务的 Microsoft Entra 先决条件为:
- 用户填充的经理属性。
- 用户填充的经理的电子邮件属性。
对于 Microsoft Graph,在用户的最后一天之前发送电子邮件 任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 离职者 |
| displayName | 在用户最后一天之前发送电子邮件(用户可进行自定义) |
| description | 在工作的最后一天之前向用户的经理发送离职电子邮件(用户可进行自定义) |
| taskDefinitionId | 52853a3e-f4e5-4eb8-bb24-1ac09a1da935 |
| 参数 | 可指定可选的常见电子邮件任务参数;如果不包括这些参数,则默认行为生效。 |
工作流中的用法示例:
{
"category": "leaver",
"continueOnError": false,
"description": "Send offboarding email to user’s manager before the last day of work",
"displayName": "Send email before user’s last day",
"isEnabled": true,
"taskDefinitionId": "52853a3e-f4e5-4eb8-bb24-1ac09a1da935",
"arguments": [
{
"name": "cc",
"value": "068fa0c1-fa00-4f4f-8411-e968d921c3e7,e94ad2cd-d590-4b39-8e46-bb4f8e293f85"
},
{
"name": "customSubject",
"value": "Reminder that {{userDisplayName}}'s last day is coming up"
},
{
"name": "customBody",
"value": "Hello {{managerDisplayName}}\n\nthis is a reminder that {{userDisplayName}}'s last day is coming up.\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}
在用户的最后一天发送电子邮件
允许在用户最后一天将电子邮件发送给用户的经理。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
运行在用户的最后一天发送电子邮件任务的 Microsoft Entra 先决条件为:
- 用户填充的经理属性。
- 用户填充的经理的电子邮件属性。
对于 Microsoft Graph,“在用户最后一天发送电子邮件”这一任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 离职者 |
| displayName | 在用户最后一天发送电子邮件(用户可进行自定义) |
| description | 在工作的最后一天向用户的经理发送离职电子邮件(用户可进行自定义) |
| taskDefinitionId | 9c0a1eaf-5bda-4392-9d9e-6e155bb57411 |
| 参数 | 可指定可选的常见电子邮件任务参数;如果不包括这些参数,则默认行为生效。 |
工作流中的用法示例:
{
"category": "leaver",
"continueOnError": false,
"description": "Send offboarding email to user’s manager on the last day of work",
"displayName": "Send email on user’s last day",
"isEnabled": true,
"taskDefinitionId": "9c0a1eaf-5bda-4392-9d9e-6e155bb57411",
"arguments": [
{
"name": "cc",
"value": "068fa0c1-fa00-4f4f-8411-e968d921c3e7,e94ad2cd-d590-4b39-8e46-bb4f8e293f85"
},
{
"name": "customSubject",
"value": "{{userDisplayName}}'s last day"
},
{
"name": "customBody",
"value": "Hello {{managerDisplayName}}\n\nthis is a reminder that {{userDisplayName}}'s last day is today and their access will be revoked.\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}
在用户的最后一天之后向其经理发送电子邮件
允许在用户的最后一天之后将包含离职信息的电子邮件发送给其经理。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
运行在用户的最后一天之后向其管理员发送电子邮件任务的 Microsoft Entra 先决条件为:
- 用户填充的经理属性。
- 用户填充的经理的电子邮件属性。
对于 Microsoft Graph,在用户的最后一天之后向其管理员发送电子邮件这一任务的参数如下所示:
| 参数 | 定义 |
|---|---|
| category | 离职者 |
| displayName | 在用户最后一天之后向其经理发送电子邮件 |
| description | 在工作的最后一天之后向用户的经理发送离职电子邮件(用户可进行自定义) |
| taskDefinitionId | 6f22ddd4-b3a5-47a4-a846-0d7c201a49ce |
| 参数 | 可指定可选的常见电子邮件任务参数;如果不包括这些参数,则默认行为生效。 |
工作流中的用法示例:
{
"category": "leaver",
"continueOnError": false,
"description": "Send offboarding email to user’s manager after the last day of work",
"displayName": "Send email after user’s last day",
"isEnabled": true,
"taskDefinitionId": "6f22ddd4-b3a5-47a4-a846-0d7c201a49ce",
"arguments": [
{
"name": "cc",
"value": "ac17d108-60cd-4eb2-a4b4-084cacda33f2,7d3ee937-edcc-46b0-9e2c-f832e01231ea"
},
{
"name": "customSubject",
"value": "{{userDisplayName}}'s accounts will be deleted today"
},
{
"name": "customBody",
"value": "Hello {{managerDisplayName}}\n\nthis is a reminder that {{userDisplayName}} left the organization a while ago and today their disabled accounts will be deleted.\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}