设置连接器以在美国政府中导入 HR 数据
可以设置数据连接器,将人力资源 (人力资源) 数据导入美国政府组织。 人力资源相关数据包括员工提交辞职的日期和员工最后一天的日期。 然后,Microsoft 信息保护解决方案(如 内部风险管理解决方案)可以使用此 HR 数据,以帮助保护组织免受组织内部的恶意活动或数据盗窃的侵害。 设置 HR 连接器包括:在Microsoft Entra中创建用于连接器身份验证的应用、创建包含 HR 数据的 CSV 映射文件、在合规中心创建数据连接器,然后按计划运行脚本 (,) 将 CSV 文件中的 HR 数据引入 Microsoft 云。 然后,内部风险管理工具使用数据连接器来访问导入到 Microsoft 365 美国政府组织的 HR 数据。
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
开始之前
必须在步骤 3 中创建 HR 连接器的用户分配数据连接器管理员角色。 需要此角色才能在 Microsoft Purview 门户或合规性门户的“ 数据连接器 ”页上添加连接器。 默认情况下,此角色将添加到多个角色组。 有关这些角色组的列表,请参阅 Microsoft Defender for Office 365 中的角色和 Microsoft Purview 合规性。 或者,组织中的管理员可以创建自定义角色组,分配数据连接器管理员角色,然后将相应的用户添加为成员。 有关说明,请参阅Microsoft Purview 合规门户的权限中的“创建自定义 Microsoft Purview 角色组”部分。
你需要确定如何定期从组织的 HR 系统 (检索或导出数据,) 并将其添加到步骤 2 中所述的 CSV 文件。 在步骤 4 中运行的脚本会将 CSV 文件中的 HR 数据上传到 Microsoft 云。
在步骤 4 中运行的示例脚本会将 HR 数据上传到 Microsoft 云,以便其他 Microsoft 工具(如内部风险管理解决方案)可以使用这些数据。 任何 Microsoft 标准支持计划或服务都不支持此示例脚本。 示例脚本“原样”提供,不提供任何形式的保证。 Microsoft 进一步拒绝所有默示保证,包括但不限于针对特定用途的适销性或适用性的任何默示保证。 由于示例脚本及文档的使用或性能所引起的全部风险均由你承担。 在任何情况下,对于由于使用或者无法使用示例脚本或文档所引起的任何损失(包括但不限于商业利润损失、业务中断、商业信息丢失或者其他经济损失),Microsoft、其作者或者参与创建、制作或交付脚本的任何人概不负责,即使 Microsoft 已被告知可能会出现此类损失。
步骤 1:在 Microsoft Entra ID 中创建应用
第一步是在 Microsoft Entra ID 中创建和注册新应用。 该应用将与步骤 3 中创建的 HR 连接器相对应。 创建此应用将允许Microsoft Entra ID在 HR 连接器运行并尝试访问组织时对其进行身份验证。 此应用还用于对步骤 4 中运行的脚本进行身份验证,以便将 HR 数据上传到 Microsoft 云。 创建此Microsoft Entra应用期间,请务必保存以下信息。 这些值将在后续步骤中使用。
- Microsoft Entra应用程序 ID (也称为应用 ID 或客户端 ID)
- Microsoft Entra应用程序机密 (也称为客户端机密)
- 租户 ID (也称为 目录 ID)
有关在 Microsoft Entra ID 中创建应用的分步说明,请参阅向Microsoft 标识平台注册应用程序。
步骤 2:使用 HR 数据准备 CSV 文件
下一步是创建一个 CSV 文件,其中包含有关已离开组织的员工的信息。 如“开始之前”部分中所述,需要确定如何从组织的 HR 系统生成此 CSV 文件。 以下示例显示 (记事本) 打开的已完成的 CSV 文件,其中包含) 列 (三个必需参数。 在 Microsoft Excel 中编辑 CSV 文件要容易得多。
EmailAddress,TerminationDate,LastWorkingDate
sarad@contoso.com,2019-04-23T15:18:02.4675041+05:30,2019-04-29T15:18:02.4675041+05:30
pilarp@contoso.com,2019-04-24T09:15:49Z,2019-04-29T15:18:02.7117540
CSV 文件的第一行(或标题行)列出了所需的列名。 每个列标题中使用的名称由你决定, (上一个示例中的名称是建议) 。 但是,在步骤 3 中创建 HR 连接器时, 必须 指定 CSV 文件中使用的相同列名。 列名中不要包含空格。
下表描述了 CSV 文件中的每一列:
列名称 | 说明 |
---|---|
EmailAddress |
指定已终止员工的电子邮件地址。 |
TerminationDate |
指定在组织中正式终止此人的雇佣关系的日期。 例如,这可能是员工发出离开组织的通知的日期。 此日期可能与该人最后一个工作日的日期不同。 使用以下日期格式: yyyy-mm-ddThh:mm:ss.nnnnnn+|-hh:mm ,即 ISO 8601 日期和时间格式。 |
LastWorkingDate | 指定已终止员工的最后一天工作。 使用以下日期格式: yyyy-mm-ddThh:mm:ss.nnnnnn+|-hh:mm ,即 ISO 8601 日期和时间格式。 |
使用所需的 HR 数据创建 CSV 文件后,将其存储在步骤 4 中运行的脚本所在的同一系统中。 请确保实施更新策略,以便 CSV 文件始终包含最新信息。 这样做可确保将最新的员工解雇数据上传到 Microsoft 云,无论运行脚本如何。
步骤 3:创建 HR 连接器
下一步是在 Microsoft Purview 门户或合规性门户中创建 HR 连接器。 在步骤 4 中运行脚本后,创建的 HR 连接器会将 HR 数据从 CSV 文件引入到 Microsoft 365 组织。 在此步骤中,请务必复制创建连接器时生成的作业 ID。 运行脚本时,将使用作业 ID。
为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
登录到 Microsoft Purview 门户。
选择 “设置”>“数据连接器”。
选择 “我的连接器”,然后选择“ 添加连接器”。
从列表中选择 “HR”。
在 “身份验证凭据 ”页上,执行以下操作,然后选择“ 下一步”:
键入或粘贴在步骤 1 中创建的 Azure 应用的Microsoft Entra应用程序 ID。
键入 HR 连接器的名称。
在“ 文件映射 ”页上,键入三个列标题的名称, (也称为 参数 ,) 在步骤 2 中创建的 CSV 文件在每个相应的框中。 名称不区分大小写。 如前所述,在这些框中键入的名称必须与 CSV 文件中的参数名称匹配。 例如,以下屏幕截图显示了步骤 2 中示例 CSV 文件中示例的参数名称。
在“ 审阅 ”页上,查看设置,然后选择“ 完成 ”以创建连接器。
将显示一个状态页,确认已创建连接器。 此页包含完成下一步以运行示例脚本以上传 HR 数据所需的两个重要事项。
- 作业 ID。 在下一步中,需要使用此作业 ID 来运行脚本。 可以从此页或连接器浮出控件页复制它。
- 示例脚本的链接。 选择 此处 的链接,转到 GitHub 站点以访问示例脚本, (链接) 打开一个新窗口。 使此窗口保持打开状态,以便复制步骤 4 中的脚本。 或者,可以为目标添加书签或复制 URL,以便可以在步骤 4 中再次访问它。 连接器浮出控件页上也提供了此链接。
选择“完成”。
新连接器显示在“ 连接器 ”选项卡上的列表中。
选择刚创建的 HR 连接器以显示浮出控件页,其中包含有关连接器的属性和其他信息。
如果尚未这样做,可以复制Azure 应用 ID 和连接器作业 ID 的值。 在下一步中,你将需要这些脚本来运行脚本。 还可以从浮出控件页下载脚本, (或使用下一步中的链接下载脚本。)
还可以选择“编辑”,更改在“文件映射”页上定义的Azure 应用 ID 或列标题名称。
步骤 4:运行示例脚本以上传 HR 数据
设置 HR 连接器的最后一步是运行示例脚本,该脚本会将在步骤 2) 中创建的 CSV 文件中的 HR 数据上传到 Microsoft 云 (。 具体而言,该脚本将数据上传到 HR 连接器。 运行脚本后,在步骤 3 中创建的 HR 连接器会将 HR 数据导入到 Microsoft 365 组织,其他合规性工具(例如预览体验成员风险管理解决方案)可以访问这些数据。 运行脚本后,请考虑计划每天自动运行任务,以便将最新的员工离职数据上传到 Microsoft 云。 请参阅 计划脚本以自动运行。
转到在上一步中保持打开状态的窗口,使用示例脚本访问 GitHub 站点。 或者,打开带书签的网站或使用复制的 URL。
选择“ 原始 ”按钮,在文本视图中显示脚本。
复制示例脚本中的所有行,然后将其保存到文本文件中。
如有必要,请修改组织的示例脚本。
使用文件名后缀
.ps1
将文本文件另存为Windows PowerShell脚本文件,HRConnector.ps1
例如 。在本地计算机上打开命令提示符,并转到保存脚本的目录。
运行以下命令,将 CSV 文件中的 HR 数据上传到 Microsoft 云:例如:
.\HRConnector.ps1 -tenantId <tenantId> -appId <appId> -appSecret <appSecret> -jobId <jobId> -csvFilePath '<csvFilePath>'
下表介绍了要用于此脚本的参数及其所需值。 在前面的步骤中获取的信息用于这些参数的值中。
参数 说明 tenantId
在步骤 1 中获取的 Microsoft 365 组织的 ID。 还可以在Microsoft Entra 管理中心的“概述”边栏选项卡上获取组织的租户 ID。 这用于标识组织。 appId
在步骤 1 Microsoft Entra ID 中创建的应用Microsoft Entra应用程序 ID。 当脚本尝试访问 Microsoft 365 组织时,Microsoft Entra ID使用此脚本进行身份验证。 appSecret
在步骤 1 Microsoft Entra ID 中创建的应用Microsoft Entra应用程序机密。 这还用于身份验证。 jobId
在步骤 3 中创建的 HR 连接器的作业 ID。 这用于将上传到 Microsoft 云的 HR 数据与 HR 连接器相关联。 csvFilePath
CSV 文件的文件路径 (存储在与步骤 2 中创建的脚本) 相同的系统上。 尽量避免文件路径中的空格;否则,请使用单引号。 下面是使用每个参数的实际值的 HR 连接器脚本语法示例:
.\HRConnector.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -csvFilePath 'C:\Users\contosoadmin\Desktop\Data\employee_termination_data.csv'
如果上传成功,脚本将显示 “上传成功” 消息。
注意
如果由于执行策略而运行上一命令时遇到问题,请参阅 关于执行策略 和 Set-ExecutionPolicy ,了解有关设置执行策略的指导。
步骤 5:监视 HR 连接器
创建 HR 连接器并运行脚本以上传 HR 数据后,可以在 Microsoft Purview 门户或合规性门户中查看连接器和上传状态。 如果将脚本计划为定期自动运行,还可以在上次运行脚本后查看当前状态。
为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
登录到 Microsoft Purview 门户。
选择 “设置”>“数据连接器”。
选择“ 我的连接器”,然后选择创建的 HR 连接器以显示浮出控件页面。 此页包含有关连接器的属性和信息。
在“ 进度”下,选择“ 下载日志 ”链接以打开 (或保存) 连接器的状态日志。 此日志包含有关每次运行脚本并将数据从 CSV 文件上传到 Microsoft 云的信息。
字段
RecordsSaved
指示上传的 CSV 文件中的行数。 例如,如果 CSV 文件包含四行,则如果脚本成功上传 CSV 文件中的所有行,则字段的值为RecordsSaved
4。
如果尚未在步骤 4 中运行脚本,则会在 “上次导入”下显示用于下载脚本的链接。 可以下载该脚本,然后按照步骤 4 中的步骤运行该脚本。
(可选) 步骤 6:计划脚本以自动运行
若要确保组织的最新 HR 数据可用于内部风险管理解决方案等工具,建议将脚本安排为定期自动运行,例如每天运行一次。 这还要求你在 CSV 文件中更新类似 ((如果不是相同的) 计划)中的 HR 数据,以便包含有关离开组织的员工的最新信息。 目标是上传最新的 HR 数据,以便 HR 连接器可以将其提供给内部风险管理解决方案。
可以使用 Windows 中的任务计划程序应用每天自动运行脚本。
在本地计算机上,选择“Windows 开始” 按钮,然后键入 “任务计划程序”。
选择 “任务计划程序” 应用将其打开。
在 “操作” 部分中,选择“ 创建任务”。
在“ 常规 ”选项卡上,键入计划任务的描述性名称;例如 HR 连接器脚本。 还可以添加可选说明。
在 “安全选项”下,执行以下操作:
确定是仅在登录到计算机时运行脚本,还是在登录与否时运行脚本。
确保选中“ 使用最高权限运行 ”复选框。
选择“ 触发器 ”选项卡,选择“ 新建”,然后执行以下操作:
在 “设置”下,选择“ 每日 ”选项,然后选择首次运行脚本的日期和时间。 该脚本将每天在同一指定时间运行。
在 “高级设置”下,确保选中“ 已启用 ”复选框。
选择“确定”。
选择“ 操作 ”选项卡,选择“ 新建”,然后执行以下操作:
在 “操作” 下拉列表中,确保已选择 “启动程序 ”。
在 “程序/脚本 ”框中,选择“ 浏览”,转到以下位置并选择它,以便在框中显示路径:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
。在 “添加参数 (可选) ”框中,粘贴在步骤 4 中运行的相同脚本命令。 例如,
.\HRConnector.ps1 -tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -csvFilePath "C:\Users\contosoadmin\Desktop\Data\employee_termination_data.csv"
在“ (可选) ”框中,粘贴步骤 4 中运行的脚本的文件夹位置。 例如,
C:\Users\contosoadmin\Desktop\Scripts
。选择 “确定” 以保存新操作的设置。
在 “创建任务” 窗口中,选择“ 确定” 以保存计划的任务。 系统可能会提示输入用户帐户凭据。
新任务显示在任务计划程序库中。
显示上次运行脚本的时间和下次计划运行的时间。 可以双击任务进行编辑。
还可以验证脚本上次在合规中心相应 HR 连接器的浮出控件页上运行的时间。