什么是生命周期工作流?

生命周期工作流是一项新的标识治理功能,可让组织通过自动执行下面三个基本生命周期过程来管理 Microsoft Entra 用户:

  • 加入者:当个人进入需要访问权限的范围时。 例如,加入公司或组织的新员工。
  • 移动者:当个人在组织各部门之间移动时。 此移动可能需要更多访问权限或授权。 例如,一个用户曾经在营销部门,但现在是销售组织的成员。
  • 离开者:当个人离开需要访问权限的范围时。 此移动可能需要删除访问权限。 例如,即将退休的员工或被解雇的员工。

工作流包含特定流程,这些流程在用户完成生命周期时自动针对用户运行。 工作流由任务执行条件组成。

任务是触发工作流时自动运行的特定操作。 执行条件定义受影响者的范围以及何时执行工作流的触发器。 例如,比新员工的 employeeHireDate 属性值提前 7 天向经理发送电子邮件可描述为工作流。 这包括:

  • 任务:发送电子邮件。
  • 人员(范围):新员工。
  • 时间(触发条件):比 employeeHireDate 属性值提前七天。

自动工作流根据用户属性计划触发条件。 可以通过大量用户属性和扩展属性(例如用户所属的“部门”)来确定自动工作流的范围。

生命周期工作流甚至可以与逻辑应用任务功能集成以扩展工作流,从而通过现有逻辑应用应对更复杂的情况。

生命周期工作流的示意图。

为何使用生命周期工作流

任何想要为员工实现标识生命周期管理流程现代化的人都需要确保:

  • 当用户加入组织时,他们已准备好在第一天进行工作。 他们有适当权限访问所需的信息、组的成员身份和应用程序。
  • 当用户因各种原因(解雇、离职、休假或退休)与公司不再有关系时,应及时撤销其访问权限。
  • 提供或撤销访问权限的流程对管理员来说并不过于繁重或耗时。
  • 管理员和其他授权用户可以轻松排查问题,并且日志记录足以帮助完成故障排除、审核和合规性。

使用生命周期工作流的主要原因包括:

  • 使用简化和自动执行任务的其他工作流扩展 HR 驱动的预配过程。
  • 集中工作流过程,以便可以轻松地在一个位置创建和管理工作流。
  • 使用工作流历史记录和审核日志对工作流方案轻松进行故障排除。
  • 大规模管理用户生命周期。 随着组织的发展,对管理用户生命周期的其他资源的需求会降低。
  • 减少或消除手动任务。
  • 应用逻辑应用扩展工作流,以便通过现有逻辑应用应对更复杂的情况。

这些功能都有助于通过删除其他依赖项和应用程序来实现相同的结果,从而保证整体体验。 然后,可以在新员工入职和从系统中删除前员工方面提高效率。

何时使用生命周期工作流

可以使用生命周期工作流来解决以下任一情况:

  • 自动执行和扩展用户入职和 HR 预配:如果要通过将生成临时密码和向经理发送电子邮件等任务进行自动化来扩展 HR 预配方案,请使用生命周期工作流。 如果当前有一个手动入职过程,请使用生命周期工作流作为自动化过程的一部分。
  • 实现动态组成员资格自动化:组织中的组定义明确时,可以实现组用户成员身份的自动化。 动态组成员资格组的优势和差异包括:
    • 生命周期工作流管理无需动态组规则的静态组。
    • 无需为每个组创建一个规则。 生命周期工作流规则确定执行工作流所针对的用户范围,而不是确定哪个组。
    • 生命周期工作流可帮助管理动态组成员资格中支持的属性之外的用户生命周期,例如 employeeHireDate 属性值之前的一定天数。
    • 生命周期工作流可以对组而不仅仅是成员身份执行操作。
  • 工作流历史记录和审核:如果需要创建用户生命周期过程的审核日志,请使用生命周期工作流。 通过使用 Microsoft Entra 管理中心,可以查看入职和离职情况的历史记录和审核。
  • 自动执行用户帐户管理:标识生命周期流程的一个关键部分是确保撤销离职用户的资源访问权限。 可以使用生命周期工作流自动禁用和删除用户帐户。
  • 自动执行访问包分配:生命周期工作流可用于自动分配和删除用户的访问包。
  • 与逻辑应用集成:可以应用逻辑应用来扩展工作流以应对更复杂的情况。

许可要求

使用此功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 如需查找符合要求的许可证,请参阅 Microsoft Entra ID 治理许可基础知识

使用生命周期工作流,可以:

  • 创建、管理和删除工作流(最多 100 个工作流)。
  • 触发按需的和计划的工作流执行。
  • 管理和配置现有任务,以创建特定于你的需求的工作流。
  • 创建最多 100 个用在工作流中的自定义任务扩展。

后续步骤