規劃雲端 HR 應用程式至 Microsoft Entra 使用者布建
過去,IT 人員依賴手動方法來建立、更新和刪除員工。 他們已使用上傳 CSV 檔案或自定義腳本等方法來同步處理員工數據。 這些布建程式容易發生錯誤、不安全且難以管理。
為了管理員工、廠商或員工隊伍的身分識別生命週期, Microsoft Entra 使用者布建服務 提供與雲端式人力資源 (HR) 應用程式的整合。 應用程式的範例包括 Workday 和 SuccessFactors。
Microsoft Entra ID 會使用此整合來啟用下列雲端 HR 應用程式 (應用程式) 程式:
- 將使用者布建至 Active Directory: 將選取的一組使用者從雲端 HR 應用程式佈建到一或多個 Active Directory 網域。
- 將僅限雲端的使用者布建至 Microsoft Entra 標識碼: 在未使用 Active Directory 的情況下,將使用者直接從雲端 HR 應用程式布建至 Microsoft Entra ID。
- 回寫至雲端 HR 應用程式: 將電子郵件地址和使用者名稱屬性從 Microsoft Entra 寫回雲端 HR 應用程式。
下列影片提供規劃 HR 驅動布建整合的指引。
注意
此部署計劃說明如何使用 Microsoft Entra 使用者布建來部署雲端 HR 應用程式。 如需如何將自動使用者布建部署至軟體即服務 (SaaS) 應用程式的相關信息,請參閱 規劃自動使用者佈建部署。
已啟用 HR 案例
Microsoft Entra 使用者布建服務可自動化下列以 HR 為基礎的身分識別生命週期管理案例:
- 新員工招聘: 將員工新增至雲端 HR 應用程式時,會自動在 Active Directory 和 Microsoft Entra 識別碼中建立使用者。 新增使用者帳戶包括將電子郵件地址和使用者名稱屬性寫回雲端 HR 應用程式的選項。
- 員工屬性和配置檔更新: 當雲端 HR 應用程式中更新員工記錄,例如名稱、職稱或經理時,其用戶帳戶會在 Active Directory 和 Microsoft Entra ID 中自動更新。
- 員工終止: 當員工在雲端 HR 應用程式中終止時,會在 Active Directory 和 Microsoft Entra 識別碼中自動停用其用戶帳戶。
- 員工重新連任: 在雲端 HR 應用程式中重新連任員工時,其舊帳戶可以自動重新啟用或重新布建至 Active Directory 和 Microsoft Entra ID。
神秘 此整合最適合嗎?
雲端 HR 應用程式與 Microsoft Entra 使用者佈建整合非常適合下列組織:
- 想要預先建置的雲端式解決方案,以進行雲端 HR 使用者布建。
- 需要將使用者從雲端 HR 應用程式直接布建到 Active Directory 或 Microsoft Entra ID。
- 需要使用從雲端 HR 應用程式取得的數據來布建使用者。
- 同步處理正在加入、移動和離開的使用者。 同步處理只會根據雲端 HR 應用程式中偵測到的變更資訊,在一或多個 Active Directory 樹系、網域和 OU 之間發生。
- 使用 Microsoft 365 傳送電子郵件。
了解
使用者布建會為進行中的身分識別治理建立基礎。 其可增強依賴授權身分識別數據的商務程序品質。
詞彙
本文使用下列字詞:
- 來源系統:Microsoft Entra ID 所布建的使用者存放庫。 例如,雲端 HR 應用程式,例如 Workday 或 SuccessFactors。
- 目標系統:Microsoft Entra ID 布建的使用者存放庫。 範例包括 Active Directory、Microsoft Entra ID、Microsoft 365 或其他 SaaS 應用程式。
- Joiners-Movers-Leavers 程式:使用雲端 HR 應用程式作為記錄系統,用於新進員工、轉移和終止的字詞。 當服務成功將必要屬性布建至目標系統時,程式就會完成。
重點優勢
HR 驅動 IT 布建的這項功能提供下列重要的商業優勢:
- 提高生產力: 您現在可以自動指派用戶帳戶和 Microsoft 365 授權,並提供密鑰群組的存取權。 自動化工作分派可讓新進員工立即存取其工作工具,並提升生產力。
- 管理風險: 根據員工狀態或群組成員資格將變更自動化,以提高安全性。 此自動化可確保使用者身分識別和金鑰應用程式的存取權會自動更新。 例如,當使用者轉換或離開組織自動流程時,HR 應用程式中的更新。
- 解決合規性與控管: Microsoft Entra ID 支援原生稽核記錄,以供來源和目標系統的應用程式執行的使用者布建要求。 透過稽核,您可以追蹤誰可從單一畫面存取應用程式。
- 管理成本: 自動布建可藉由避免與手動布建相關聯的效率低效和人為錯誤來降低成本。 其可減少使用舊版和過時平臺所建置的自定義開發使用者布建解決方案的需求。
授權
若要將雲端 HR 應用程式設定為 Microsoft Entra 使用者布建整合,您需要有效的 Microsoft Entra ID P1 或 P2 授權,以及雲端 HR 應用程式的授權 ,例如 Workday 或 SuccessFactors。
您也需要來自雲端 HR 應用程式的每個使用者的有效 Microsoft Entra ID P1 或更高訂用帳戶授權,並布建到 Active Directory 或 Microsoft Entra ID。
在布建程式中使用生命週期工作流程和其他 Microsoft Entra ID 控管 功能需要 Microsoft Entra ID 控管 授權。
必要條件
- 混合式身分識別 管理員 istrator 角色,以設定 連線 布建代理程式。
- 應用程式 管理員 istrator 角色來設定佈建應用程式。
- 雲端 HR 應用程式的測試和生產實例。
- 在雲端 HR 應用程式中 管理員 istrator 許可權,以建立系統整合使用者,並變更以測試員工數據以供測試之用。
- 若要將使用者布建至 Active Directory,需要執行 Windows Server 2016 或更新版本的伺服器來裝載 Microsoft Entra 連線 布建代理程式。 此伺服器應該是以 Active Directory 系統管理層模型為基礎的第 0 層伺服器。
- Microsoft Entra 連線,用於同步處理 Active Directory 與 Microsoft Entra 識別符之間的使用者。
訓練資源
解決方案架構
下列範例說明常見混合式環境的端對端使用者布建解決方案架構,包括:
- 從雲端 HR 應用程式到 Active Directory 的授權 HR 數據流。 在此流程中,HR 事件(Joiners-Movers-Leavers 程式)會在雲端 HR 應用程式租使用者中起始。 Microsoft Entra 布建服務和 Microsoft Entra 連線 布建代理程式會將用戶數據從雲端 HR 應用程式租使用者布建到 Active Directory。 視事件而定,它可能會導致在 Active Directory 中建立、更新、啟用和停用作業。
- 與 Microsoft Entra 識別碼同步,並將電子郵件和使用者名稱從 內部部署的 Active Directory 寫回雲端 HR 應用程式。 在 Active Directory 中更新帳戶之後,會透過 Microsoft Entra 連線 與 Microsoft Entra 標識符同步處理。 電子郵件地址和使用者名稱屬性可以寫回雲端 HR 應用程式租使用者。
布建程式的描述
下圖中會指出下列重要步驟:
- HR 小組 會在雲端 HR 應用程式租用戶中執行交易。
- Microsoft Entra 布建服務 會從雲端 HR 應用程式租用戶執行排程的週期,並識別要處理以與 Active Directory 同步處理的變更。
- Microsoft Entra 布建服務會叫用 Microsoft Entra 連線 布建代理程式,其中包含 Active Directory 帳戶建立、更新、啟用和停用作業的要求承載。
- Microsoft Entra 連線 布建代理程式會使用服務帳戶來管理 Active Directory 帳戶數據。
- Microsoft Entra 連線 會執行差異同步處理,以提取 Active Directory 中的更新。
- Active Directory 更新會與 Microsoft Entra 識別符同步。
- Microsoft Entra 布建服務 會將電子郵件屬性和使用者名稱從 Microsoft Entra ID 寫回雲端 HR 應用程式租使用者。
規劃部署專案
當您在環境中判斷此部署的策略時,請考慮您的組織需求。
包含正確的專案關係人
當技術項目失敗時,通常會因為對影響、結果和責任的預期不符而這樣做。 若要避免這些陷阱, 請確定您參與正確的項目關係人。 也請確定專案中的項目關係人角色已充分瞭解。 記錄項目關係人及其專案輸入和責任。
包含 HR 組織的代表,他們可以提供現有 HR 商務程式和背景工作身分識別以及作業數據處理需求的輸入。
方案通訊
溝通對於任何新服務的成功非常重要。 主動與使用者溝通其體驗變更的時機和方式。 讓他們知道如何在遇到問題時獲得支援。
規劃試驗
將 HR 商務程式和身分識別工作流程從雲端 HR 應用程式整合至目標系統,需要大量的數據驗證、數據轉換、數據清理和端對端測試,才能將解決方案部署至生產環境。
先在 試驗環境中 執行初始設定,再將其調整為生產環境中的所有使用者。
選取雲端 HR 布建連接器應用程式
若要協助將 Microsoft Entra 從雲端 HR 應用程式布建到 Active Directory,您可以從 Microsoft Entra 應用連結庫新增多個布建連接器應用程式:
- 雲端 HR 應用程式至 Active Directory 使用者布建:此佈建連接器應用程式可協助將使用者帳戶從雲端 HR 應用程式佈建到單一 Active Directory 網域。 如果您有多個網域,您可以從 Microsoft Entra 應用連結庫針對您需要布建的每個 Active Directory 網域,新增此應用程式的一個實例。
- 雲端 HR 應用程式至 Microsoft Entra 使用者布建:Microsoft Entra 連線 是用來將 Active Directory 內部部署使用者同步處理至 Microsoft Entra ID 的工具。 雲端 HR 應用程式至 Microsoft Entra 使用者布建是一種連接器,可用來將僅限雲端的使用者從雲端 HR 應用程式布建到單一 Microsoft Entra 租使用者。
- 雲端 HR 應用程式回寫:此布建連接器應用程式有助於將使用者的電子郵件位址從 Microsoft Entra ID 回寫至雲端 HR 應用程式。
例如,下圖列出 Microsoft Entra 應用連結庫中可用的 Workday 連接器應用程式。
決策流程圖
使用下列決策流程圖來識別哪些雲端 HR 布建應用程式與您的案例相關。
設計 Microsoft Entra 連線 布建代理程式部署拓撲
雲端 HR 應用程式和 Active Directory 之間的佈建整合需要四個元件:
- 雲端 HR 應用程式租使用者
- 布建連接器應用程式
- Microsoft Entra Connect 佈建代理程式
- Active Directory 網域
Microsoft Entra 連線 布建代理程式部署拓撲取決於您打算整合的雲端 HR 應用程式租使用者和 Active Directory 子域數目。 如果您有多個 Active Directory 網域,這取決於 Active Directory 網域是連續還是 脫離。
根據您的決策,選擇其中一個部署案例:
- 單一雲端 HR 應用程式租使用者 -> 以信任樹系中的單一或多個 Active Directory 子網域為目標
- 單一雲端 HR 應用程式租使用者 -> 以脫離 Active Directory 樹系中的多個子網域為目標
單一雲端 HR 應用程式租使用者 -> 以信任樹系中的單一或多個 Active Directory 子網域為目標
我們建議使用下列生產設定:
| 需求 | 建議 |
|---|---|
| 要部署的 Microsoft Entra 連線 布建代理程式數目。 | 兩個 (適用於高可用性和故障轉移)。 |
| 要設定的布建連接器應用程式數目。 | 每個子域有一個應用程式。 |
| Microsoft Entra 連線 布建代理程式的伺服器主機。 | Windows Server 2016 具有異地定位 Active Directory 域控制器的視線。 可以與 Microsoft Entra 連線 服務共存。 |
單一雲端 HR 應用程式租使用者 -> 以脫離 Active Directory 樹系中的多個子網域為目標
此案例牽涉到將使用者從雲端 HR 應用程式布建到脫離 Active Directory 樹系中的網域。
我們建議使用下列生產設定:
| 需求 | 建議 |
|---|---|
| 要部署內部部署的 Microsoft Entra 連線 布建代理程式數目 | 每個脫離的 Active Directory 樹系有兩個。 |
| 要設定的布建連接器應用程式數目 | 每個子域有一個應用程式。 |
| Microsoft Entra 的伺服器主機 連線 布建代理程式。 | Windows Server 2016 具有異地定位 Active Directory 域控制器的視線。 可以與 Microsoft Entra 連線 服務共存。 |
Microsoft Entra 連線 布建代理程式需求
雲端 HR 應用程式到 Active Directory 使用者布建解決方案需要部署一或多個 Microsoft Entra 連線 布建代理程式。 這些代理程式必須部署在執行 Windows Server 2016 或更新版本的伺服器上。 伺服器必須至少有 4 GB RAM 和 .NET 4.7.1+ 執行時間。 確定主機伺服器具有目標 Active Directory 網域的網路存取權。
為了準備內部部署環境,Microsoft Entra 連線 布建代理程式設定精靈會向 Microsoft Entra 租使用者註冊代理程式、開啟埠、允許存取 URL,並支援輸出 HTTPS Proxy 設定。
布建代理程式會 設定全域受控服務帳戶 (GMSA) 來與 Active Directory 網域通訊。
您可以選取應該處理布建要求的域控制器。 如果您有數個地理位置分散的域控制器,請在與慣用域控制器相同的站臺上安裝布建代理程式。 此定位可改善端對端解決方案的可靠性與效能。
如需高可用性,您可以部署多個 Microsoft Entra 連線 布建代理程式。 註冊代理程式以處理同一組 內部部署的 Active Directory 網域。
設計 HR 布建應用程式部署拓撲
根據輸入使用者布建設定所涉及的 Active Directory 網域數目,您可能會考慮下列其中一個部署拓撲。 每個拓撲圖表都會使用範例部署案例來反白顯示組態層面。 使用與部署需求非常相似的範例來判斷符合您需求的組態。
部署拓撲一:將所有使用者從雲端 HR 布建到單一 內部部署的 Active Directory 網域的單一應用程式
部署拓撲一是最常見的部署拓撲。 如果您需要將所有使用者從雲端 HR 布建到單一 AD 網域,且相同的布建規則會套用至所有使用者,請使用此拓撲。
突出組態層面
- 設定兩個布建代理程序節點,以達到高可用性和故障轉移。
- 使用布 建代理程式設定精靈 ,向 Microsoft Entra 租用戶註冊 AD 網域。
- 設定布建應用程式時,請從已註冊網域的下拉式清單中選取 AD 網域。
- 如果您使用範圍篩選器,請設定 略過範圍刪除旗標 ,以防止意外停用帳戶。
部署拓撲 2:將不同的應用程式從雲端 HR 布建到單一 內部部署的 Active Directory 網域
此拓撲支援商務需求,其中屬性對應和布建邏輯會根據使用者類型(員工/承包商)、使用者位置或使用者的業務單位而有所不同。 您也可以使用此拓撲,根據部門或國家/地區委派輸入使用者布建的管理和維護。
突出組態層面
- 設定兩個布建代理程序節點,以達到高可用性和故障轉移。
- 針對您想要布建的每個不同使用者集,建立 HR2AD 布建應用程式。
- 在布建應用程式中使用 範圍篩選 來定義用戶來處理每個應用程式。
- 在需要跨不同使用者集合解析管理員參考的案例中,建立個別的 HR2AD 布建應用程式。 例如,承包商向員工主管報告。 使用個別的應用程式只 更新管理員 屬性。 將此應用程式的範圍設定為所有使用者。
- 設定 略過範圍刪除旗標 ,以防止意外停用帳戶。
注意
如果您沒有測試 AD 網域並使用 AD 中的 TEST OU 容器,您可以使用此拓撲來建立兩個不同的應用程式 HR2AD (Prod) 和 HR2AD (Test)。 使用 HR2AD (Test) 應用程式來測試屬性對應變更,再將其升級至 HR2AD (Prod) 應用程式。
部署拓撲三:將不同的應用程式從雲端 HR 布建到多個 內部部署的 Active Directory 網域(無跨網域可見度)
使用拓撲三來管理屬於相同樹系的多個獨立子 AD 網域。 請確定管理員一律存在於與使用者相同的網域中。 此外,請確定使用者PrincipalName、samAccountName 和郵件等屬性的唯一標識符產生規則不需要全樹系查閱。 拓撲三提供依網域界限委派每個布建作業管理的彈性。
例如:在圖表中,會為每個地理區域設定布建應用程式:北美洲(NA)、歐洲、中東和非洲(EMEA)和亞太地區(APAC)。 視位置而定,系統會將使用者布建到個別的 AD 網域。 您可以委派佈建應用程式的系統管理,讓 EMEA 系統管理員 能夠獨立管理屬於 EMEA 區域的使用者布建設定。
突出組態層面
- 設定兩個布建代理程序節點,以達到高可用性和故障轉移。
- 使用布 建代理程式設定精靈 ,向 Microsoft Entra 租用戶註冊所有子 AD 網域。
- 為每個目標網域建立個別的 HR2AD 布建應用程式。
- 設定布建應用程式時,請從可用AD網域的下拉式清單中選取個別的子AD網域。
- 使用 布建應用程式中的範圍篩選 來定義每個應用程式處理的使用者。
- 設定 略過範圍刪除旗標 ,以防止意外停用帳戶。
部署拓撲四:將不同的應用程式從 Cloud HR 布建到多個 內部部署的 Active Directory 網域(具有跨網域可見度)
使用拓撲四來管理屬於相同樹系的多個獨立子 AD 網域。 使用者的管理員可能存在於不同的網域中。 此外,使用者PrincipalName、samAccountName和郵件等屬性的唯一標識符產生規則需要全樹系查閱。
例如:在圖表中,會為每個地理區域設定布建應用程式:北美洲(NA)、歐洲、中東和非洲(EMEA)和亞太地區(APAC)。 視位置而定,系統會將使用者布建到個別的 AD 網域。 跨網域管理員參考和全樹系查閱是藉由啟用布建代理程序的轉介追查來處理。
突出組態層面
- 設定兩個布建代理程序節點,以達到高可用性和故障轉移。
- 設定 布建代理程序的轉介追逐 。
- 使用布 建代理程式設定精靈 ,向 Microsoft Entra 租用戶註冊父 AD 網域和所有子 AD 網域。
- 為每個目標網域建立個別的 HR2AD 布建應用程式。
- 設定每個布建應用程式時,請從可用AD網域的下拉式清單中選取父AD網域。 選取父域可確保樹系範圍查閱,同時產生 userPrincipalName、samAccountName 和 mail 等屬性的唯一值。
- 使用 parentDistinguishedName 搭配表達式對應,以在正確的子域和 OU 容器中動態建立使用者。
- 使用 布建應用程式中的範圍篩選 來定義每個應用程式處理的使用者。
- 若要解析跨網域管理員參考,請建立個別的 HR2AD 布建應用程式,只更新 管理員 屬性。 將此應用程式的範圍設定為所有使用者。
- 設定 略過範圍刪除旗標 ,以防止意外停用帳戶。
部署拓撲 5:將所有使用者從雲端 HR 布建到多個 內部部署的 Active Directory 網域的單一應用程式(具有跨網域可見性)
如果您想要使用單一布建應用程式來管理屬於您所有父域和子 AD 網域的使用者,請使用此拓撲。 如果布建規則在所有網域之間保持一致,而且不需要委派布建作業的管理,則建議使用此拓撲。 此拓撲支援解析跨網域管理員參考,並可執行全樹系的唯一性檢查。
例如:在圖表中,單一布建應用程式會管理由區域分組的三個不同子域的使用者:北美洲(NA)、歐洲、中東和非洲(EMEA)和亞太地區(APAC)。 parentDistinguishedName 的屬性對應可用來在適當的子域中動態建立使用者。 跨網域管理員參考和全樹系查閱是藉由啟用布建代理程序的轉介追查來處理。
突出組態層面
- 設定兩個布建代理程序節點,以達到高可用性和故障轉移。
- 設定 布建代理程序的轉介追逐 。
- 使用布 建代理程式設定精靈 ,向 Microsoft Entra 租用戶註冊父 AD 網域和所有子 AD 網域。
- 建立整個樹系的單一 HR2AD 布建應用程式。
- 設定布建應用程式時,請從可用AD網域的下拉式清單中選取父AD網域。 選取父域可確保樹系範圍查閱,同時產生 userPrincipalName、samAccountName 和 mail 等屬性的唯一值。
- 使用 parentDistinguishedName 搭配表達式對應,以在正確的子域和 OU 容器中動態建立使用者。
- 如果您使用範圍篩選器,請設定 略過範圍刪除旗標 ,以防止意外停用帳戶。
部署拓撲 6:將不同的應用程式從雲端 HR 布建到中斷連線 內部部署的 Active Directory 樹系
如果您的 IT 基礎結構已中斷連線/脫離 AD 樹系,而且您必須根據業務關係將使用者布建到不同的樹系,請使用此拓撲。 例如:為子公司 Contoso 工作的用戶必須布建到 contoso.com 網域,而為子公司 Fabrikam 工作的用戶必須布建到 fabrikam.com 網域。
突出組態層面
- 為高可用性和故障轉移設定兩組不同的布建代理程式,每個樹系各設定一個。
- 建立兩個不同的佈建應用程式,每個樹系各一個。
- 如果您需要解析樹系內的跨網域參考,請啟用 布建代理程序的轉介追逐 。
- 為每個中斷連線的樹系建立個別的 HR2AD 布建應用程式。
- 設定每個布建應用程式時,請從可用的 AD 功能變數名稱下拉式清單中選取適當的父 AD 網域。
- 設定 略過範圍刪除旗標 ,以防止意外停用帳戶。
部署拓撲 7:將不同的應用程式從多個雲端 HR 布建到中斷連線 內部部署的 Active Directory 樹系
在大型組織中,擁有多個 HR 系統並不常見。 在商務併購(合併和收購)案例中,您可能會發現需要將 內部部署的 Active Directory 連線到多個 HR 來源。 如果您有多個 HR 來源,而且想要將這些 HR 來源的身分識別數據傳送到相同或不同的 內部部署的 Active Directory 網域,建議您使用拓撲。
突出組態層面
- 為高可用性和故障轉移設定兩組不同的布建代理程式,每個樹系各設定一個。
- 如果您需要解析樹系內的跨網域參考,請啟用 布建代理程序的轉介追逐 。
- 為每個 HR 系統建立個別的 HR2AD 布建應用程式,並 內部部署的 Active Directory 組合。
- 設定每個布建應用程式時,請從可用的 AD 功能變數名稱下拉式清單中選取適當的父 AD 網域。
- 設定 略過範圍刪除旗標 ,以防止意外停用帳戶。
規劃範圍篩選和屬性對應
當您啟用從雲端 HR 應用程式布建至 Active Directory 或 Microsoft Entra ID 時,Azure 入口網站 會透過屬性對應控制屬性值。
定義範圍篩選
使用 範圍篩選 來定義屬性型規則,以決定哪些用戶應該從雲端 HR 應用程式布建到 Active Directory 或 Microsoft Entra ID。
當您起始聯結程式時,請收集下列需求:
- 雲端 HR 應用程式是否用來讓員工和隊伍員工上線?
- 您是否計劃將雲端 HR 應用程式用於 Microsoft Entra 使用者布建來管理員工和特製員工?
- 您是否打算將雲端 HR 應用程式推出至 Microsoft Entra 使用者,只針對雲端 HR 應用程式使用者子集進行布建? 例如,員工可能只有員工。
視您的需求而定,當您設定屬性對應時,您可以設定 [來源物件範圍 ] 欄位,以選取雲端 HR 應用程式中哪些使用者應位於布建至 Active Directory 的範圍內。 如需詳細資訊,請參閱適用於常用範圍篩選器的雲端 HR 應用程式教學課程。
判斷比對屬性
透過布建,您可以比對來源與目標系統之間的現有帳戶。 在整合雲端 HR 應用程式與 Microsoft Entra 布建服務時,您可以 設定屬性對應 ,以判斷哪些使用者數據應該從雲端 HR 應用程式流向 Active Directory 或 Microsoft Entra ID。
當您起始聯結程式時,請收集下列需求:
- 此雲端 HR 應用程式中用來識別每個使用者的唯一標識子為何?
- 從身分識別生命周期的觀點來看,您如何處理重新存取? 重新工作會保留他們的舊員工標識碼嗎?
- 您是否會事先處理未來的雇用人員,併為其建立 Active Directory 帳戶?
- 從身分識別生命周期的觀點來看,您如何處理員工到分工轉換,或以其他方式處理員工轉換?
- 已轉換的使用者會保留其舊的 Active Directory 帳戶,還是取得新的帳戶?
視您的需求而定,Microsoft Entra ID 藉由提供常數值或 撰寫屬性對應表達式,支援直接屬性對屬性對應。 此彈性可讓您最終控制目標應用程式屬性中填入的內容。 您可以使用 Microsoft Graph API 和 Graph 總管,將使用者布建屬性對應和架構導出至 JSON 檔案,並將其匯回 Microsoft Entra ID。
根據預設,代表唯一員工標識符的雲端 HR 應用程式中的屬性會作為對應至 Active Directory 中唯一屬性的比對屬性。例如,在 Workday 應用程式案例中,WorkdayWorkerID 屬性會對應至 Active Directory employeeID 屬性。
您可以設定多個比對屬性,並指派比對優先順序。 它們會以相符的優先順序進行評估。 一旦找到相符專案,就不會評估任何進一步的相符屬性。
您也可以 自定義預設屬性對應,例如變更或刪除現有的屬性對應。 您也可以根據業務需求建立新的屬性對應。 如需詳細資訊,請參閱雲端 HR 應用程式教學課程(例如 Workday),以取得要對應的自定義屬性清單。
判斷用戶帳戶狀態
根據預設,布建連接器應用程式會將 HR 使用者配置檔狀態對應至使用者帳戶狀態。 狀態是用來判斷要啟用或停用用戶帳戶。
當您起始 Joiners-Leavers 程式時,請收集下列需求。
| 處理 | 需求 |
|---|---|
| 聯結者 | 從身分識別生命周期的觀點來看,您如何處理重新存取? 重新工作會保留他們的舊員工標識碼嗎? |
| 您是否會事先處理未來的雇用人員,併為其建立 Active Directory 帳戶? 這些帳戶是否以啟用或停用的狀態建立? | |
| 從身分識別生命周期的觀點來看,您如何處理員工到分工轉換,或以其他方式處理員工轉換? | |
| 已轉換的使用者是否保留其舊的 Active Directory 帳戶,或取得新的帳戶? | |
| 畢業生 | 在 Active Directory 中,員工和臨時員工是否以不同的方式處理終止? |
| 處理用戶終止的生效日期為何? | |
| 員工和隊伍背景工作角色轉換如何影響現有的 Active Directory 帳戶? | |
| 如何在 Active Directory 中處理 Rescind 作業? 如果未來在 Active Directory 中建立日期的雇用人員是加入程式程式的一部分,則必須處理撤銷作業。 |
根據您的需求,您可以使用 Microsoft Entra 運算式來自定義對應邏輯,以便根據數據點的組合來啟用或停用 Active Directory 帳戶。
將雲端 HR 應用程式對應至 Active Directory 用戶屬性
每個雲端 HR 應用程式都會隨附預設雲端 HR 應用程式至 Active Directory 對應。
當您起始 Joiners-Movers-Leavers 程式時,請收集下列需求。
| 處理 | 需求 |
|---|---|
| 聯結者 | Active Directory 帳戶建立程式是否為手動、自動化或部分自動化? |
| 您是否打算將自定義屬性從雲端 HR 應用程式傳播至 Active Directory? | |
| 搬運工 | 每當雲端 HR 應用程式中發生 Movers 作業時,您想要處理哪些屬性? |
| 您是否在使用者更新時執行任何特定屬性驗證? 如果是,請提供詳細數據。 | |
| 畢業生 | 在 Active Directory 中,員工和臨時員工是否以不同的方式處理終止? |
| 處理用戶終止的生效日期為何? | |
| 員工和背景工作角色轉換如何影響現有的 Active Directory 帳戶? |
視您的需求而定,您可以修改對應以符合整合目標。 如需詳細資訊,請參閱特定的雲端 HR 應用程式教學課程(例如 Workday),以取得要對應的自定義屬性清單。
產生唯一屬性值
CN、samAccountName 和 UPN 等屬性具有唯一的條件約束。 起始聯結程式程式時,您可能需要產生唯一的屬性值。
Microsoft Entra ID 函式 SelectUniqueValues 會評估每個規則,然後檢查在目標系統中產生的唯一性值。 如需範例,請參閱 產生 userPrincipalName (UPN) 屬性的唯一值。
注意
此函式目前僅支援 Workday 至 Active Directory 和 SAP SuccessFactors 至 Active Directory 使用者布建。 它無法與其他佈建應用程式搭配使用。
設定 Active Directory OU 容器指派
根據業務單位、位置和部門,將 Active Directory 用戶帳戶放入容器是常見的需求。 當您起始 Movers 程式,如果有監督組織變更時,您可能需要將使用者從 Active Directory 中的一個 OU 移至另一個 OU。
使用 Switch() 函式來設定 OU 指派的商業規則,並將其對應至 Active Directory 屬性 parentDistinguishedName。
例如,如果您想要根據 HR 屬性 市集在 OU 中建立使用者,您可以使用下列運算式:
Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")
使用此表達式時,如果市集值是達拉斯、奧斯丁、西雅圖或倫敦,則會在對應的 OU 中建立用戶帳戶。 如果沒有相符專案,則會在預設 OU 中建立帳戶。
規劃新用戶帳戶的密碼傳遞
當您起始 Joiners 程式時,您必須設定並傳遞新使用者帳戶的暫時密碼。 透過雲端 HR 對 Microsoft Entra 使用者布建,您可以在第一天推出使用者的 Microsoft Entra ID 自助式密碼重設 (SSPR) 功能。
SSPR是IT系統管理員讓使用者重設密碼或解除鎖定其帳戶的簡單方法。 您可以從雲端 HR 應用程式將 Mobile Number 屬性布建到 Active Directory,並使用 Microsoft Entra ID 進行同步處理。 在 行動電話號碼 屬性位於 Microsoft Entra ID 之後,您可以為使用者帳戶啟用 SSPR。 然後,第一天,新使用者可以使用已註冊和已驗證的行動號碼進行驗證。 如需 如何預先填入驗證連絡資訊的詳細資訊,請參閱 SSPR 檔 。
規劃初始週期
當 Microsoft Entra 布建服務第一次執行時,它會對雲端 HR 應用程式執行 初始迴圈 ,以在雲端 HR 應用程式中建立所有用戶物件的快照集。 初始週期所花費的時間會直接取決於來源系統中有多少使用者存在。 一些具有超過 100,000 位使用者之雲端 HR 應用程式租使用者的初始週期可能需要很長的時間。
對於大型雲端 HR 應用程式租使用者(>30,000 位使用者), 請分階段執行初始迴圈。 只有在驗證 Active Directory 中已針對不同的使用者布建案例設定正確的屬性之後,才啟動累加式更新。 請遵循這裡的順序。
- 設定 範圍篩選條件,只針對一組有限的使用者執行初始迴圈。
- 確認 Active Directory 帳戶布建,以及為第一次執行所選取的使用者設定的屬性值。 如果結果符合您的預期,請展開範圍篩選,以漸進方式包含更多使用者,並確認第二次執行的結果。
滿意測試使用者初始循環的結果之後,請啟動 累加式更新。
規劃測試和安全性
部署包含從初始試驗到啟用使用者布建的階段。 在每個階段,請確定您正在測試預期的結果。 此外,請稽核布建週期。
規劃測試
將雲端 HR 應用程式設定為 Microsoft Entra 使用者布建之後,請執行測試案例來確認此解決方案是否符合貴組織的需求。
| 案例 | 預期的結果 |
|---|---|
| 新員工會在雲端 HR 應用程式中僱用。 | - 用戶帳戶已布建在 Active Directory 中。 - 使用者可以登入 Active Directory 網域應用程式,並執行所需的動作。 - 如果已設定 Microsoft Entra 連線 Sync,使用者帳戶也會在 Microsoft Entra 識別符中建立。 |
| 使用者會在雲端 HR 應用程式中終止。 | - Active Directory 中已停用用戶帳戶。 - 用戶無法登入 Active Directory 保護的任何企業應用程式。 |
| 雲端 HR 應用程式中會更新使用者監督組織。 | 根據屬性對應,用戶帳戶會從 Active Directory 中的一個 OU 移至另一個 OU。 |
| HR 會在雲端 HR 應用程式中更新使用者的管理員。 | Active Directory 中的管理員欄位會更新,以反映新管理員的名稱。 |
| HR 將員工重新擔任新角色。 | 行為取決於雲端 HR 應用程式的設定方式,以產生員工標識符。 如果舊員工標識碼用於重新僱用的員工,連接器會為使用者啟用現有的 Active Directory 帳戶。 如果重新僱用的員工取得新的員工標識符,連接器會為使用者建立新的 Active Directory 帳戶。 |
| HR 會將員工轉換為合約工作者,反之亦然。 | 系統會為新的角色建立新的 Active Directory 帳戶,並在轉換生效日期時停用舊帳戶。 |
使用先前的結果來判斷如何根據您的已建立時程表,將自動使用者布建實作轉換為生產環境。
提示
當您使用生產數據重新整理測試環境以移除或遮罩敏感數據以符合隱私權和安全性標準時,請使用數據縮減和數據清除等技術。
規劃安全性
安全性檢閱在部署新服務的一部分時很常見。 如果需要或尚未進行安全性檢閱,請參閱提供身分識別即服務概觀的許多 Microsoft Entra ID 白皮書 。
規劃復原
雲端 HR 使用者布建實作可能無法在生產環境中如預期般運作。 若是如此,下列復原步驟可協助您還原為先前已知的良好狀態。
- 檢閱布 建記錄 ,以判斷受影響的使用者或群組上執行的作業不正確。 如需布建摘要報告和記錄的詳細資訊,請參閱 管理雲端 HR 應用程式使用者布建。
- 受影響的使用者或群組的最後已知良好狀態可以透過布建稽核記錄或檢閱目標系統 (Microsoft Entra ID 或 Active Directory) 來判斷。
- 請與應用程式擁有者合作,使用最後已知的良好狀態值來更新應用程式中直接受影響的使用者或群組。
部署雲端 HR 應用程式
選擇符合解決方案需求的雲端 HR 應用程式。
Workday:若要將背景工作配置檔從 Workday 匯入 Active Directory 和 Microsoft Entra ID,請參閱 教學課程:設定 Workday 來自動布建使用者。 您可以選擇性地將電子郵件地址、使用者名稱和電話號碼寫回 Workday。
SAP SuccessFactors:若要將背景工作配置檔從 SuccessFactors 匯入 Active Directory 和 Microsoft Entra ID,請參閱 教學課程:設定 SAP SuccessFactors 來自動布建使用者。 您可以選擇性地將電子郵件地址和使用者名稱寫回 SuccessFactors。
管理您的設定
Microsoft Entra ID 可以透過稽核記錄和報告,進一步深入瞭解貴組織的使用者布建使用量和作業健康情況。
從報表和記錄取得見解
在成功 初始周期之後,Microsoft Entra 布建服務會無限期地以每個應用程式特定的教學課程中所定義的間隔,持續執行回溯累加式更新,直到發生下列其中一個事件:
- 服務已手動停止。 使用 Microsoft Entra 系統管理中心 或適當的 Microsoft Graph API 命令來觸發新的初始迴圈。
- 由於屬性對應或範圍篩選條件有所變更,因此會觸發新的初始迴圈。
- 由於錯誤率很高,布建程式會進入隔離區。 它停留在隔離區超過四周,此時會自動停用。
若要檢閱這些事件和布建服務所執行的任何其他活動, 請瞭解如何檢閱記錄並取得布建活動的報告。
Azure 監視器記錄
布建服務執行的所有活動都會記錄在 Microsoft Entra 稽核記錄中。 您可以將 Microsoft Entra 稽核記錄路由至 Azure 監視器記錄,以進一步分析。 使用 Azure 監視器記錄 (也稱為 Log Analytics 工作區),您可以查詢數據以尋找事件、分析趨勢,以及跨各種數據源執行相互關聯。 觀看這段 影片 ,以了解在實際使用者案例中使用適用於 Microsoft Entra 記錄的 Azure 監視器記錄的優點。
安裝 Microsoft Entra 活動記錄的記錄分析檢視,以存取環境中布建事件周圍的預先建置報告。
如需詳細資訊,請參閱如何使用 Azure 監視器記錄來分析 Microsoft Entra 活動記錄。
管理個人資料
安裝在 Windows 伺服器上的 Microsoft Entra 連線 布建代理程式會在 Windows 事件記錄檔中建立記錄,視您的雲端 HR 應用程式到 Active Directory 屬性對應而定,可能包含個人資料。 若要遵守用戶隱私權義務,請設定 Windows 排程工作以清除事件記錄檔,並確保不會保留超過 48 小時的數據。
Microsoft Entra 布建服務不會產生報告、執行分析或提供超過 30 天的深入解析,因為服務不會儲存、處理或保留超過 30 天的任何數據。
疑難排解
若要針對布建期間可能出現的任何問題進行疑難解答,請參閱下列文章:
- 設定使用者布建至 Microsoft Entra Gallery 應用程式時發生問題
- 將屬性從 內部部署的 Active Directory 同步至 Microsoft Entra ID,以布建至應用程式
- 設定使用者布建至 Microsoft Entra Gallery 應用程式時儲存系統管理員認證時發生問題
- 未將使用者布建至 Microsoft Entra Gallery 應用程式
- 將錯誤的一組使用者布建到 Microsoft Entra Gallery 應用程式
- 設定 Windows 事件檢視器 以進行代理程式疑難解答
- 設定服務疑難解答的稽核記錄
- 瞭解 AD 使用者帳戶建立作業的記錄
- 瞭解管理員更新作業的記錄
- 解決常見的錯誤