使用生命週期工作流程管理從 Active Directory 網域服務 同步處理到Microsoft Entra標識符的使用者
生命週期工作流程支援控管從 Active Directory 網域服務 (AD DS) 同步至 Microsoft Entra 標識符的用戶帳戶的身分識別生命週期。 針對生命週期工作流程,使用者帳戶必須存在於 Microsoft Entra ID 中,但帳戶的建立方式,或帳戶的生命週期相關變更如何對帳戶執行,在處理用戶帳戶的工作流程和相關聯的工作方面扮演次要角色。 此支援包括帳戶和變更,透過 HR 驅動布建、Microsoft Graph API、Microsoft Entra 管理入口網站,以及由 Microsoft Entra Connect 和 Microsoft Cloud Sync 同步處理的變更。
下表列出使用 Microsoft Entra ID 控管 從 AD DS 同步處理使用者的常見自動化案例:
| 自動化案例 | Microsoft Entra ID 控管解決方案 |
|---|---|
| 在 Active Directory 網域服務 中建立用戶帳戶 | HR 驅動布建 |
| 提供用戶帳戶的初始認證或密碼 | 產生 暫時存取傳遞,並透過電子郵件傳送給使用者的管理員 工作,可用來設定無密碼認證。 若要設定一般 Active Directory 密碼,您可以使用 Microsoft Entra 自助式密碼重設。 |
| 指派授權 | 將 授權指派給使用者 生命週期工作流程工作可用來指派授權。 您也可以透過 群組將授權指派給使用者。 |
| 讓使用者存取 Active Directory 群組型應用程式 | 控管 內部部署的 Active Directory (Kerberos) 應用程式存取 |
| 在移動組織時更新 Active Directory 中的用戶屬性 | 規劃範圍篩選和屬性對應 |
| 當使用者移動組織時,將使用者移至不同的 OU | 設定 Active Directory OU 容器指派 |
| 在最後一天停用使用者 | [ 停用使用者帳戶 生命週期工作流程] 工作可用來在其最後一天停用用戶帳戶。 |
| 在終止后的一組天數刪除使用者 | 刪除 使用者 生命週期工作流程工作可以在工作流程範本內用來刪除用戶終止后的一組天數。 |
在本文中,您會瞭解如果您想要針對從 AD DS 同步處理至 Microsoft Entra ID 的用戶帳戶使用生命週期工作流程,必須考慮哪些事項。
工作流程執行條件與使用者從 Active Directory 網域服務 同步處理到 Microsoft Entra 識別碼
當用戶帳戶符合工作流程的執行條件時,會針對使用者帳戶處理生命週期工作流程。 執行條件包含觸發程序和範圍。 觸發程序描述使用者帳戶所發生的事件。 範圍可讓您進一步定義工作流程在事件發生時執行的物件。
工作流程觸發程序
下表顯示與從 AD DS 同步處理的使用者搭配使用時,每個工作流程觸發程式的考慮事項:
| 工作流程觸發程序 | 需求 |
|---|---|
| 屬性變更 | 只要同步處理屬性,就不需要進一步設定。 如需同步處理屬性的詳細資訊,請參閱:Microsoft Entra Cloud Sync 中的屬性對應和 Microsoft Entra Connect Sync :目錄延伸模組。 在 Active Directory 中進行變更時,必須先透過 Microsoft Entra Cloud Sync 或 Microsoft Entra Connect Sync 進行同步處理,才能從生命週期工作流程中挑選變更。 |
| 以群組成員資格為基礎 | 支援任何類型的群組時,不需要進一步的設定。 如果群組源自 Active Directory,則必須同步處理至 Microsoft Entra。 必須先進行 Microsoft Entra Cloud Sync 或 Microsoft Entra Connect Sync 同步處理,才能從生命週期工作流程中挑選變更。 |
| 依需求 | 不需要進一步的設定。 |
| 以時間為基礎 | employeeHireDate、employeeLeaveDateTime:使用這些屬性之前,必須先同步處理這些屬性。 如需關於此程序的詳細資訊,請參閱如何同步處理生命週期工作流程的屬性。 createdDateTime:不需要進一步的設定。 此日期是使用者帳戶同步至 Microsoft Entra ID 的日期,而不是在 Active Directory 內建立的時間。 |
工作流程範圍
對於工作流程範圍功能內使用的使用者屬性,如果選取的屬性已進行同步處理,就不需要進一步設定。 如需關於同步處理屬性的詳細資訊,請參閱:Microsoft Entra Cloud Sync 中的屬性對應和 Microsoft Entra Connect Sync :目錄延伸模組。 在 Active Directory 中進行變更時,必須先透過 Microsoft Entra Cloud Sync 或 Microsoft Entra Connect Sync 進行同步處理,才能從生命週期工作流程中挑選變更。
用戶從 Active Directory 網域服務 同步至 Microsoft Entra 識別符的工作流程工作
所有生命週期工作流程工作都適用於雲端,並從 Active Directory 同步處理,但本文中所列特定工作的限制除外。 如需關於所有生命週期工作流程工作的詳細資訊,請參閱生命週期工作流程內建工作。
治理群組成員資格的工作
案例: 當您將使用者從 AD DS 同步至Microsoft Entra 標識符時,您可以透過生命週期工作流程的群組工作,從雲端式安全組新增或移除使用者。 這可讓您控管雲端中已同步使用者的群組成員資格,以及使用 Microsoft Entra Cloud Sync 群組回寫,將此群組新增回 Active Directory。
對於從 AD DS 同步至 Microsoft Entra 識別碼的群組,您將無法使用案例中所述的生命週期工作流程群組工作。 不過,Microsoft Entra ID 控管可用來治理內部部署 Active Directory (Kerberos) 應用程式存取與雲端中的群組,這些群組在生命週期工作流程中受到支援。
用戶帳戶工作
生命週期工作流程工作需要額外的設定,才能啟用、停用和刪除用戶帳戶,以使用從 AD DS 同步處理。 您必須先完成下列必要條件,才能設定工作以在 Active Directory 中執行動作。
- 您必須在環境中安裝 Microsoft Entra 佈建代理程式。 如需安裝 Microsoft Entra 佈建代理程式的必要條件,請參閱:雲端佈建代理程式需求。 如需安裝 Microsoft Entra 佈建代理程式的逐步指南,請參閱:安裝 Microsoft Entra 佈建代理程式。 在安裝期間,選擇「HR 驅動佈建 / Microsoft Entra Connect Sync」做為「延伸項目設定」。 您不必為佈建代理程式新增任何其他設定,例如雲端同步設定,即使您目前針對使用者同步處理也是使用 Microsoft Entra Connect Sync,仍可安裝佈建代理程式。
注意
安裝佈建代理程式至少必須是 2024 年 5 月 13 日發行的 1.1.1586.0 版。
請確定佈建代理程式所使用的群組受管理服務帳戶 (gMSA) 具有適當的權限,可對使用者帳戶執行作業。
若要刪除使用者帳戶,您必須啟用 Active Directory 資源回收筒。 如需啟用資源回收筒的逐步指南,請參閱:Active Directory 資源回收筒逐步指南。
如需設定旗標的逐步指南,讓用戶帳戶工作針對從 Active Directory 網域服務 同步的使用者執行,請參閱:使用工作流程管理從 Active Directory 網域服務 同步處理的使用者。