分享方式:

準備生命週期工作流程使用者帳戶的教學課程

  • 文章

針對入職和離職,您需要執行工作流程的帳戶的教學課程。 本節可協助您準備這些帳戶,如果您已經有符合下列需求的測試帳戶,您可以直接前往入職和離職教學課程。 入職教學課程需要兩個帳戶,一個是新進員工帳戶,另一個是新進員工管理員帳戶。 新進員工帳戶必須設定下列屬性:

  • employeeHireDate 必須設為今天
  • 部門必須設為銷售
  • 請務必設定管理員屬性,且管理員帳戶應有信箱接收電子郵件

離職教學課程只需要一個包含群組和 Teams 成員資格的帳戶,而此帳戶會在教學課程期間刪除。

必要條件

使用此功能需要 Microsoft Entra ID 控管或 Microsoft Entra 套件授權。 若要找到適合您需求的授權,請參閱 Microsoft Entra ID 控管授權基礎知識

  • Microsoft Entra 租用戶
  • 具有 Microsoft Entra 租用戶適當許可權的系統管理員帳戶。 此帳戶會用來建立使用者和工作流程。

開始之前

在大部分的情況中,使用者會從內部部署解決方案 (例如 Microsoft Entra Connect 或雲端同步) 或使用 HR 解決方案佈建至 Microsoft Entra ID。 這些使用者會在建立時填入屬性和值。 設定基礎結構並佈建使用者不是本教學課程的範圍。 如需詳細資訊,請參閱教學課程:基本 Active Directory 環境 (部分機器翻譯) 和教學課程:整合單一樹系與單一 Microsoft Entra 租使用者 (部分機器翻譯)。

在 Microsoft Entra ID 中建立使用者

提示

根據您從中開始的入口網站,本文中的步驟可能會略有不同。

我們會使用 Graph 總管,快速建立在教學課程中執行生命週期工作流程所需要的兩位使用者。 一位使用者代表新員工,另一位使用者代表新員工的經理。

您必須編輯 POST,並以您的租用戶名稱取代<租用戶名稱位置>的部分。 例如:$UPN_manager = "bsimon@<租用戶名稱位置>" to $UPN_manager = "bsimon@contoso.onmicrosoft.com"。

注意

請注意,員工僱用日期 (事件開始後的天數) 早於工作流程建立日期時,工作流程不會觸發。 您必須依設計設定日後的 employeeHiredate。 本教學課程中使用的日期是即時快照集, 所以建議您因應情況變更日期。

首先,我們會建立員工「Melva Prince」。

  1. 接著瀏覽至 Graph 總管
  2. 使用租用戶的系統管理員帳戶,登入 Graph 總管。
  3. 在頂端,將 GET 變更為 POST,並新增 https://graph.microsoft.com/v1.0/users/ 至方塊。
  4. 將下列程式碼複製到「要求本文」
  5. 將下列程式碼中的 <your tenant here> 取代為 Microsoft Entra 租用戶的值。
  6. 選取 [執行查詢]
  7. 複製結果中傳回的識別碼。 之後,這會用來指派經理。
{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

在 Graph 總管中 POST 建立 Melva 的螢幕擷取畫面。

接著,我們要建立 Britta Simon。 此帳戶會作為我們的經理使用。

  1. 一樣在 Graph 總管中。
  2. 請確定頂端仍設為 POST,而 https://graph.microsoft.com/v1.0/users/ 在方塊中。
  3. 將下列程式碼複製到「要求本文」
  4. 將下列程式碼中的 <your tenant here> 取代為 Microsoft Entra 租用戶的值。
  5. 選取 [執行查詢]
  6. 複製結果中傳回的識別碼。 此 ID 之後會用於指派經理。 
    {
  "accountEnabled": true,
  "displayName": "Britta Simon",
  "mailNickname": "bsimon",
  "department": "sales",
  "mail": "bsimon@<your tenant name here>",
  "employeeHireDate": "2021-01-15T22:10:00Z",
  "userPrincipalName": "bsimon@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

注意

為符合您的 Microsoft Entra 租用戶,您必須變更程式碼的「租用戶名稱位置」<>區段。

或者,下列 PowerShell 指令碼也可以用來快速建立執行生命週期工作流程所需的兩位使用者。 一位使用者代表新員工,另一位使用者代表新員工的經理。

重要

下列 PowerShell 指令碼供您快速建立本教學課程所需的兩個使用者。 您也可以在 Microsoft Entra 系統管理中心建立這些使用者。

若要建立此步驟,請將下列 PowerShell 指令碼儲存至可存取 Azure 的電腦位置。

接著,您必須編輯指令碼,並以您的租用戶名稱取代 <租用戶名稱位置> 的部分。 例如:$UPN_manager = "bsimon@<租用戶名稱位置>" to $UPN_manager = "bsimon@contoso.onmicrosoft.com"。

請務必針對 $UPN_employee 和 $UPN_manager 執行此動作

編輯指令碼後,請儲存指令碼並遵循下列步驟:

  1. 使用系統管理權限,從可存取至 Microsoft Entra 系統管理中心的機器,開啟 Windows PowerShell 命令提示字元。
  2. 瀏覽至已儲存的 PowerShell 指令碼位置並執行指令碼。
  3. 安裝 PowerShell 模組時,如果出現提示,請選取 [全部皆是]
  4. 出現提示時,請針對租用戶使用全域管理員登入 Microsoft Entra 系統管理中心。
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-MgGraph -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

在 Microsoft Entra ID 中成功建立一或多位使用者後,便可以繼續生命週期工作流程教學課程以進行工作流程建立作業。

預聘案例的其他步驟

當您使用生命週期工作流程搭配 Microsoft Entra 系統管理中心教學課程,或使用生命週期工作流程搭配 Microsoft Graph 教學課程,將生命週期工作流程測試至貴組織時,您應該注意一些其他步驟。

使用 Microsoft Entra 系統管理中心編輯使用者屬性

預先僱用入職教學課程所需的部分屬性會透過 Microsoft Entra 系統管理中心公開,且可在該處設定。

這些屬性包括:

屬性 描述 設定
郵件 用來通知管理員,新員工的臨時存取密碼 經理
manager 此屬性是生命週期工作流程使用 員工

關於本教學課程,mail 屬性只需要在管理員帳戶上設定,而 manager 屬性在員工帳戶上設定。 使用下列步驟:

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 > [身分識別] > [使用者] > [所有使用者]
  3. 選取 [Melva Prince]。
  4. 在頂端選取 [編輯]。
  5. 在管理員下,選取 [變更],然後選取 [Britta Simon]。
  6. 在頂端選取 [儲存]
  7. 返回使用者,然後選取 [Britta Simon]。
  8. 在頂端選取 [編輯]。
  9. 在 [電子郵件] 下,輸入有效的電子郵件地址。
  10. 選取 [儲存]。

Edit employeeHireDate

employeeHireDate 屬性是 Microsoft Entra ID 的新屬性。 此屬性不會透過 UI 公開,而且必須使用 Graph 更新。 若要編輯此屬性,請使用 Graph 總管

注意

請注意,員工僱用日期 (事件開始後的天數) 早於工作流程建立日期時,工作流程不會觸發。 您必須依設計設定日後的 employeeHireDate。 本教學課程中使用的日期是即時快照集, 所以建議您因應情況變更日期。

若要這樣做,請取得使用者 Melva Prince 的物件識別碼。

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 > [身分識別] > [使用者] > [所有使用者]

  3. 選取 [Melva Prince]。

  4. 選取 [物件識別碼] 旁的複製符號。

  5. 接著瀏覽至 Graph 總管

  6. 使用租用戶的全域管理員帳戶,登入 Graph 總管。

  7. 在頂端,將 GET 變更為 PATCH,並新增 https://graph.microsoft.com/v1.0/users/<id> 至方塊。 將 <id> 替代為之前複製的值。

  8. 複製下列內容至 [要求本文],然後選取 [執行查詢]

    {
"employeeHireDate": "2022-04-15T22:10:00Z"
}

    PATCH employeeHireDate 的螢幕擷取畫面。

  9. PATCH 變更回 GET,並將 v1.0 變更為 搶鮮版 (Beta),然後確認變更。 選取 [執行查詢]。 您應該會看到 Melva 設定的屬性。
    GET employeeHireDate 的螢幕擷取畫面。

在員工帳戶上編輯管理員屬性

管理員屬性用於電子郵件通知工作。 它會將新員工暫時的密碼以電子郵件傳送給經理。 使用下列步驟,確保您的 Microsoft Entra 使用者包含經理屬性的值。

  1. 一樣在 Graph 總管中。

  2. 請確定頂端仍設為 PUT,而 https://graph.microsoft.com/v1.0/users/<id>/manager/$ref 在方塊中。 變更 <id> 為 Melva Prince 的識別碼。

  3. 將下列程式碼複製到「要求本文」

  4. 以 Britta Simons ID 的值,取代下列程式碼中的 <managerid>

  5. 選取 [執行查詢]

    {
  "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
}

    在 Graph 總管中新增管理員的螢幕擷取畫面。

  6. 接著,我們可將 PUT 變更為 GET,確認已正確設定經理。

  7. 請確定 https://graph.microsoft.com/v1.0/users/<id>/manager/ 在方塊中。 <id> 仍是 Melva Prince 的識別碼。

  8. 選取 [執行查詢]。 您應該會看到回應中傳回 Britta Simon。

    在 Graph 總管中取得經理的螢幕擷取畫面。

如需在 Graph API 中更新使用者管理員資訊的詳細資訊,請參閱指派管理員文件。 您也可以在 Azure 管理員中心設定此屬性。 如需詳細資訊,請參閱新增或變更設定檔資訊

啟用臨時存取密碼 (TAP)

臨時存取密碼是管理員核發,且滿足增強式驗證需求的限時密碼。

在此案例中,我們會使用這項 Microsoft Entra ID 功能,產生新員工的臨時存取密碼。 然後,系統會以電子郵件將密碼傳送給員工的經理。

若要使用此功能,則必須在 Microsoft Entra 租用戶啟用該功能。 若要啟用此功能,請使用下列步驟。

  1. 至少以驗證原則管理員的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [資料保護] > [驗證方法] > [臨時存取密碼]
  3. 選取 [是] 啟用原則並新增 Britta Simon,然後選取套用原則 (或任何一般設定) 的使用者。

考量離開者案例

使用生命週期搭配 Microsoft Entra 系統管理中心教學課程或 Microsoft Graph 測試貴組織任一離職使用者的教學課程時,您應須留意此處有額外的步驟。

開始離職員工案例的教學課程前,請設定包含群組和 Teams 成員資格的使用者

開始離開者案例的教學課程前,需要擁有群組和 Teams 成員資格的使用者。

下一步