雲端人力資源應用程式到 Microsoft Entra 的使用者佈建
過去,IT 人員依賴手動方法來建立、更新和刪除員工。 他們使用了上傳 CSV 檔案或自訂指令碼來同步員工資料之類的方法。 這些佈建程序很容易出錯、不安全,且難以管理。
為了管理員工、廠商或臨時工的身分識別生命週期,Microsoft Entra 使用者佈建服務提供與雲端式人力資源 (HR) 應用程式的整合。 應用程式的範例包括 Workday 和 SuccessFactors。
Microsoft Entra ID 使用這項整合來啟用下列雲端 HR 應用程式流程:
- 將使用者佈建至 Active Directory:將選取的使用者集合從雲端 HR 應用程式佈建至一或多個 Active Directory 網域。
- 將僅限雲端使用者佈建至 Microsoft Entra ID:在未使用 Active Directory 的情況下,直接從雲端 HR 應用程式佈建使用者至 Microsoft Entra ID。
- 寫回至雲端 HR 應用程式:將電子郵件地址和使用者名稱屬性從 Microsoft Entra 寫回至雲端 HR 應用程式。
下列影片指導您如何規劃由 HR 帶動的佈建整合。
注意
此部署計劃展示如何使用 Microsoft Entra 使用者佈建部署雲端 HR 應用程式。 如需如何將自動使用者佈建部署至軟體即服務 (SaaS) 應用程式的詳細資訊,請參閱規劃自動使用者佈建部署。
從任何 HR 系統進行 API 驅動的佈建
透過 API 驅動的佈建,您可以將記錄中任何系統的身分識別帶入 Microsoft Entra ID。 您可以使用自選的任何自動化工具,從記錄中的系統擷取員工資料,並將其內嵌至 Microsoft Entra ID。 IT 系統管理員可完全控制如何使用屬性對應來處理並轉換資料。
啟用的 HR 案例
Microsoft Entra 使用者佈建服務可使下列以 HR 為基礎的身分識別生命週期管理案例自動化:
- 新員工招聘: 將員工新增至雲端 HR 應用程式後,會自動在 Active Directory 和 Microsoft Entra ID 中建立使用者。 新增使用者帳戶時會提供選項,讓您將電子郵件地址和使用者名稱屬性寫回雲端 HR 應用程式。
- 員工屬性和個人檔案更新:在雲端 HR 應用程式中更新員工記錄 (例如名字、職稱或經理) 時,其使用者帳戶會在 Active Directory 和 Microsoft Entra ID 中自動更新。
- 員工終止:在雲端 HR 應用程式中終止員工時,其使用者帳戶會在 Active Directory 和 Microsoft Entra ID 中自動停用。
- 員工重新雇用:在雲端 HR 應用程式中重新雇用員工時,其舊帳戶可以自動重新啟用或重新佈建至 Active Directory 和 Microsoft Entra ID。
此種整合最適合誰?
雲端 HR 應用程式與 Microsoft Entra 使用者佈建的整合非常適合下列組織:
- 想要適用於雲端 HR 使用者佈建的預先建置、雲端式解決方案。
- 需要將使用者直接從雲端 HR 應用程式佈建至 Active Directory 或 Microsoft Entra ID。
- 需要使用從雲端 HR 應用程式取得的資料來佈建使用者。
- 正在同步加入、移動和離開的使用者。 需要僅根據在雲端 HR 應用程式中偵測到的變更資訊,在一或多個 Active Directory 樹系、網域和 OU 之間完成此同步。
- 使用 Microsoft 365 取得電子郵件。
了解
使用者佈建會建立進行中的身分識別治理基礎。 其會增強依賴授權身分識別資料的商務程序品質。
詞彙
本文使用下列字詞:
- 來源系統:Microsoft Entra ID 從中佈建的使用者存放庫。 例如 Workday 或 SuccessFactors 等雲端 HR 應用程式。
- 目標系統:Microsoft Entra ID 佈建的使用者存放庫。 例如 Active Directory、Microsoft Entra ID、Microsoft 365 或其他 SaaS 應用程式。
- 入職者-調職者-離職者 (Joiners-Movers-Leavers) 流程:使用雲端 HR 應用程式作為記錄的系統,用於新進員工、調動和終止的字詞。 當服務成功將必要的屬性佈建至目標系統後,便會完成流程。
重點優勢
此種 HR 驅動 IT 佈建功能提供下列顯著的商業優勢:
- 提高生產力:您現在可以將使用者帳戶和 Microsoft 365 授權的指派自動化,並提供金鑰群組的存取權。 自動指派可讓新進員工立即存取其作業工具並提高生產力。
- 管理風險: 根據員工狀態或群組成員資格進行自動變更,以提高安全性。 透過此自動化功能,可確保自動更新使用者身分識別,以及密鑰應用程式的存取權限。 例如,當使用者轉換或離開組織時,HR 應用程式中的更新會自動展開流程。
- 滿足合規性與治理要求:對於來源和目標系統的應用程式所執行的使用者佈建要求,Microsoft Entra ID 支援原生佈建記錄。 透過稽核,您可以從單一畫面追蹤可存取應用程式的人員。
- 管理成本:自動佈建可避免與手動佈建相關的效率不彰和人為錯誤,進而降低成本。 藉由使用舊版和過時的平台,可減少隨著時間建置自訂開發使用者佈建解決方案的需求。
授權
若要設定雲端 HR 應用程式與 Microsoft Entra 使用者佈建的整合,則您需要有效的 Microsoft Entra ID P1 或 P2 授權和雲端 HR 應用程式的授權 (例如 Workday 或 SuccessFactors)。
針對每個源自雲端 HR 應用程式和佈建至 Active Directory 或 Microsoft Entra ID 的使用者,您也需要有效的 Microsoft Entra ID P1 或更高的訂閱授權。
在佈建流程中使用生命週期工作流程和其他 Microsoft Entra ID Governance 功能時,需有 Microsoft Entra ID Governance 授權。
必要條件
- 混合式身分識別系統管理員角色,用以設定 Connect 佈建代理程式。
- 應用程式系統管理員角色,用以設定佈建應用程式。
- 雲端 HR 應用程式的測試和生產執行個體。
- 具備雲端 HR 應用程式中的系統管理員權限,以建立系統整合使用者和進行變更以測試員工資料 (供測試之用)。
- 針對佈建至 Active Directory 的使用者,必須要有執行 Windows Server 2016 或更新版本的伺服器,才能主控 Microsoft Entra Connect 佈建代理程式。 此伺服器應為以 Active Directory 系統管理階層模型為基礎的階層 0 伺服器。
- Microsoft Entra Connect 以供同步 Active Directory 和 Microsoft Entra ID 之間的使用者。
訓練資源
解決方案架構
下列範例說明常見混合式環境的端對端使用者佈建方案架構,以及包含:
- 從雲端 HR 應用程式至 Active Directory 的授權 HR 資料流程。 在此流程中,HR 事件 (入職者-調職者-離職者流程) 會在雲端 HR 應用程式租用戶中起始。 Microsoft Entra 佈建服務和 Microsoft Entra Connect 佈建代理程式會將使用者資料從雲端 HR 應用程式租用戶佈建至 Active Directory。 取決於事件,其可能會導致在 Active Directory 中建立、更新、啟用和停用作業。
- 與 Microsoft Entra ID 同步,並將電子郵件和使用者名稱從內部部署 Active Directory 寫回至雲端 HR 應用程式。 在 Active Directory 中更新帳戶後,便會透過 Microsoft Entra ID 與 Microsoft Entra Connect 同步。 電子郵件地址和使用者名稱屬性可以寫回至雲端 HR 應用程式租用戶。
佈建流程說明
下列主要步驟如圖所示:
- HR 小組會在雲端 HR 應用程式租用戶中執行交易。
- Microsoft Entra 佈建服務會從雲端 HR 應用程式租用戶執行已排程的週期,並識別要處理以便與 Active Directory 同步的變更。
- Microsoft Entra 佈建服務會使用包含 Active Directory 帳戶建立、更新、啟用和停用作業的要求承載,來叫用 Microsoft Entra Connect 佈建代理程式。
- Microsoft Entra Connect 佈建代理程式會使用服務帳戶來管理 Active Directory 帳戶資料。
- Microsoft Entra Connect 會執行差異同步來提取 Active Directory 中的更新。
- Active Directory 會與 Microsoft Entra ID 同步更新。
- Microsoft Entra 佈建服務會將電子郵件屬性和使用者名稱從 Microsoft Entra ID 回寫到雲端 HR 應用程式租用戶。
規劃部署專案
在決定環境中此部署的策略時,請考慮您的組織需求。
包含正確的專案關係人
當技術專案失敗時,其通常是因為人員對影響、結果與責任抱持不相符的預期而造成。 若要避免這些問題,請確定您已讓正確的專案關係人參與其中。 此外,也請確定專案中的專案關係人角色已充分了解。 請記錄專案關係人和其專案輸入與責任。
包含 HR 組織的代表,可提供現有 HR 商務程序和員工身分識別的輸入,以及作業資料處理需求。
方案通訊
溝通對於任何新服務的成功非常重要。 主動與您的使用者溝通有關於體驗變更的時間和方式。 告知使用者在遇到問題時如何取得支援。
規劃試驗
將 HR 商務程序和身分識別工作流程從雲端 HR 應用程式整合至目標系統,需要大量的資料驗證、資料轉換、資料清理和端對端測試,才可以將解決方案部署至實際執行環境。
先在試驗環境中執行初始設定,然後將其調整為實際執行環境中的所有使用者。
規劃 HR 資料流程和屬性對應
為了確保將正確的 HR 記錄對應到 Microsoft Entra ID (Entra ID)/內部部署的 Active Directory (AD) 中的使用者,請與 HR 和 IT 團隊合作以確保資料一致性,並規劃任何資料清理工作。 以下是展開行動的最佳做法清單。
比對標識碼存在和唯一性:佈建服務會使用比對屬性來唯一識別並連結 HR 系統中的使用者記錄,以及 AD / Entra ID 中的對應使用者帳戶。 預設對應屬性取決於員工識別碼。 請務必先確定員工標識碼的值會填入 Entra ID (僅限雲端使用者) 和內部部署 AD (混合式使用者) 中,再起始完整同步處理,因為員工識別碼可唯一識別使用者。
使用範圍篩選器可略過不再相關的 HR 記錄:HR 系統包含很多年的就業數據,甚至能夠回溯到 1970 年代。 另一方面,您的 IT 小組可能只對目前在職的員工和終止記錄感興趣,這些記錄將在上線後通過。 若要從 IT 小組的觀點篩選出不再相關的 HR 記錄,請與您的 HR 小組合作,在可用於 Microsoft Entra 佈建範圍篩選的 HR 記錄中新增旗標。
規劃在使用者名稱中處理特殊字元:一般做法是使用員工的名字和姓氏,為使用者建立唯一的
userPrincipalName
。userPrincipalName
不得使用重音字元,而且僅能使用以下字元:A - Z、a - z、0 - 9、' . - _ ! # ^ ~. 請使用函式 NormalizeDiacritics 來處理重音字元,並建構適當的userPrincipalName
。規劃處理長字串:檢查您的 HR 資料是否包含與 HR 欄位相關聯的長字串值,您將使用這些欄位來填入 Entra ID/內部部署 AD 屬性。 每個 Entra ID 屬性都有字串長度上限。 如果對應到 Entra ID 屬性的 HR 欄位值包含更多字符,則屬性更新可能會失敗。 一種辦法是檢查您的屬性對應,確認是否有可能截斷/更新 HR 系統中的長字串值。 如果無法採取上述做法,您可以使用如 Mid 等函式來截斷長字串,或使用如 Switch 等函式將長值對應到較短的值/縮寫。
處理強制屬性的 null/空白值:在 Entra ID/內部部署 AD 中建立帳戶時,有些屬性為強制填入,例如
firstName
、lastName
、CN
或UPN
。 如果與此類屬性對應的相應 HR 欄位為 null,則使用者建立操作會失敗。 例如,如果將 ADCN
屬性對應到「顯示名稱」,並且沒有為所有使用者設定「顯示名稱」,便會發生錯誤。 一種辦法是檢查此類強制屬性的對應情況,確保在 HR 中的相應欄位有填入內容。 您也可以考慮檢查運算式對應中的 null 值。 例如,如果顯示名稱為空白,則串連名字和姓氏以形成顯示名稱。
選取雲端 HR 佈建連接器應用程式
為有利於 Microsoft Entra 從雲端 HR 應用程式佈建到 Active Directory,您可以從 Microsoft Entra 應用程式庫新增多個佈建連接器應用程式:
- 雲端 HR 應用程式至 Active Directory 使用者佈建:此佈建連接器應用程式可協助使用者帳戶從雲端 HR 應用程式佈建至單一 Active Directory 網域。 如果您擁有多個網域,則可以針對要進行佈建的每個 Active Directory 網域,從 Microsoft Entra 應用程式庫新增此應用程式的執行個體。
- 雲端 HR 應用程式到 Microsoft Entra 使用者佈建:Microsoft Entra Connect 是用於將 Active Directory 內部部署使用者同步到 Microsoft Entra ID 的工具。 雲端 HR 應用程式到 Microsoft Entra 使用者佈建是一種連接器,用於將僅限雲端的使用者從雲端 HR 應用程式佈建到單一 Microsoft Entra 租用戶。
- 雲端 HR 應用程式寫回:此佈建連接器應用程式有助於將使用者電子郵件地址從 Microsoft Entra ID 寫回至雲端 HR 應用程式。
例如,下圖列出 Microsoft Entra 應用程式庫中可用的 Workday 連接器應用程式。
決策流程圖
請使用下列的決策流程圖來識別哪些雲端 HR 佈建應用程式與您的案例相關。
設計 Microsoft Entra Connect 佈建代理程式部署拓撲
雲端 HR 應用程式和 Active Directory 之間的佈建整合需要四個元件:
- 雲端 HR 應用程式租用戶
- 佈建連接器應用程式
- Microsoft Entra Connect 佈建代理程式
- Active Directory 網域
Microsoft Entra Connect 佈建代理程式部署拓撲會視您計劃整合的雲端 HR 應用程式租用戶和 Active Directory 子網域數目而定。 如果您有多個 Active Directory 網域,則會取決於 Active Directory 網域是否為連續或不相鄰。
根據您的決策,選擇其中一種部署案例:
- 單一雲端 HR 應用程式租用戶 -> 以信任樹系中的單一或多個 Active Directory 子網域為目標
- 單一雲端 HR 應用程式租使用者 -> 以不相鄰 Active Directory forest 樹系中的多個子網域為目標
單一雲端 HR 應用程式租用戶 -> 以信任樹系中的單一或多個 Active Directory 子網域為目標
建議使用下列實際執行環境設定:
需求 | 建議 |
---|---|
要部署的 Microsoft Entra Connect 佈建代理程式數目。 | 兩個 (供高可用性和容錯移轉)。 |
要設定的佈建連接器應用程式數目。 | 每一子網域一個應用程式。 |
Microsoft Entra Connect 布建代理程式的伺服器主機。 | 具有地理定位 Active Directory 網域控制站功能的 Windows Server 2016。 可以與 Microsoft Entra Connect 服務共存。 |
單一雲端 HR 應用程式租使用者 -> 以不相鄰 Active Directory forest 樹系中的多個子網域為目標
此案例包含在將使用者從雲端 HR 應用程式佈建至不相鄰 Active Directory 樹系中的網域。
建議使用下列實際執行環境設定:
需求 | 建議 |
---|---|
要部署內部部署的 Microsoft Entra Connect 佈建代理程式數目 | 每一不相鄰 Active Directory 樹系兩個佈建應用程式。 |
要設定的佈建連接器應用程式數目 | 每一子網域一個應用程式。 |
Microsoft Entra Connect 布建代理程式的伺服器主機。 | 具有地理定位 Active Directory 網域控制站功能的 Windows Server 2016。 可以與 Microsoft Entra Connect 服務共存。 |
Microsoft Entra Connect 佈建代理程式要求
使用雲端 HR 應用程式到 Active Directory 使用者佈建解決方案時,須部署一或多個 Microsoft Entra Connect 佈建代理程式。 這些代理程式必須部署在執行 Windows Server 2016 或更高版本的伺服器上。 伺服器最少必須有 4-GB RAM 和 .NET 4.7.1+ 執行時間。 確定主機伺服器有目標 Active Directory 網域的網路存取。
為了準備內部部署環境,Microsoft Entra Connect 佈建代理程式設定精靈會使用您的 Microsoft Entra 租用戶註冊代理程式、開啟連接埠、允許存取 URL,以及支援輸出 HTTPS Proxy 設定。
佈建代理應用程式會設定全域受管理的服務帳戶 (GMSA),以與 Active Directory 網域通訊。
您可以選取應處理佈建要求的網域控制站。 如果您有多個以地理定位方式散佈的網域控制站,請在與您慣用網域控制站的相同網站中安裝佈建代理程式。 這項定位可改善端對端解決方案的穩定性和效能。
為了達到高可用性,您可以部署一個以上的 Microsoft Entra Connect 佈建代理程式。 註冊代理程式以處理相同的內部部署 Active Directory 網域集。
設計 HR 佈建應用程式部署拓撲
取決於輸入使用者佈建設定中包含的 Active Directory 網域數目,您可以考量下列其中一個部署拓撲。 每個拓撲圖表都會使用範例部署案例以醒目提示設定層面。 使用幾乎與您部署需求相同的範例,判斷符合您需求的設定。
部署拓撲一:使用單一應用程式,將所有使用者從雲端 HR 佈建至單一內部部署 Active Directory 網域
部署拓撲一是最常見的部署拓撲。 如果您需要將所有使用者從雲端 HR 至單一 AD 網域並將相同佈建規則套用至所有使用者,則請使用此拓撲。
重要的設定層面
- 設定兩個佈建代理程式節點以供高可用性和容錯移轉。
- 使用佈建代理程式設定精靈以使用您的 Microsoft Entra 租用戶註冊 AD 網域。
- 當設定佈建應用程式時,請從註冊網域的下拉式清單中選取 AD 網域。
- 如果您使用範圍篩選器,請設定略過刪除超出範圍的旗標以避免帳戶意外停用。
部署拓撲二:使用個別應用程式,將不同的使用者集從雲端 HR 佈建至單一內部部署 Active Directory 網域
此拓撲支援業務需求,其中屬性對應和佈建邏輯會依據使用者類型 (員工/約聘員工)、使用者位置或使用者業務單位而有所不同。 您也可以使用此拓撲,根據部門或國家/地區,委派輸入使用者佈建的管理和維護。
重要的設定層面
- 設定兩個佈建代理程式節點以供高可用性和容錯移轉。
- 針對您要佈建的每個不同使用者集,建立 HR2AD 佈建應用程式。
- 使用佈建應用程式中的 [範圍篩選條件],定義要處理每個應用程式的使用者。
- 在需要跨不同使用者集合來解析經理參考資料的情況下,請建立個別的 HR2AD 佈建應用程式。 例如,承包商向身為員工的經理回報。 請使用個別的應用程式,以便僅更新經理的屬性。 將此應用程式的範圍設定為所有使用者。
- 設定略過刪除超出範圍的旗標以避免帳戶意外停用。
注意
如果不必測試 AD 網域並使用 AD 中的測試 OU 容器,則您可以使用此拓撲建立兩個個別的應用程式:HR2AD (實際執行) 和 HR2AD (測試)。 在升級至 HR2AD (實際執行) 應用程式之前,請先使用 HR2AD (測試) 應用程式來測試您的屬性對應變更。
部署拓撲三:使用個別應用程式,將不同的使用者集從雲端 HR 佈建至多個內部部署 Active Directory 網域 (沒有跨網域可見度)
使用拓樸三來管理屬於相同樹系的多個獨立子系 AD 網域。 請確保管理員始終與使用者位於相同網域。 另請確保 userPrincipalName、samAccountName 和 mail 等屬性的唯一識別碼產生規則不需要進行全樹系查詢。 拓撲三可讓您靈活地依網域界限委派每個佈建作業的管理。
例如,在圖表中,每個地理區域都會設定佈建應用程式:北美洲 (NA)、歐洲、中東及非洲 (EMEA) 和亞太地區 (APAC)。 根據位置,將使用者佈建至個別的 AD 網域。 可以委派佈建應用程式的管理,讓 EMEA 管理員可以獨立管理屬於 EMEA 區域的使用者佈建設定。
重要的設定層面
- 設定兩個佈建代理程式節點以供高可用性和容錯移轉。
- 使用佈建代理程式設定精靈以使用您的 Microsoft Entra 租用戶註冊所有 AD 子網域。
- 建立每個目標網域的個別 HR2AD 佈建應用程式。
- 當設定佈建應用程式時,請自可用 AD 網域的下拉式清單選取個別 AD 子網域。
- 使用佈建應用程式中的 [範圍篩選條件],定義每個應用程式要處理的使用者。
- 設定略過刪除超出範圍的旗標以避免帳戶意外停用。
部署拓撲四:使用個別應用程式,將不同的使用者集從雲端 HR 佈建至多個內部部署 Active Directory 網域 (具有跨網域可見度)
使用拓樸四來管理屬於相同樹系的多個獨立子系 AD 網域。 使用者的管理員可能存在於不同網域中。 此外,userPrincipalName、samAccountName 和 mail 等屬性的唯一識別碼產生規則需要進行全樹系查詢。
例如,在圖表中,每個地理區域都會設定佈建應用程式:北美洲 (NA)、歐洲、中東及非洲 (EMEA) 和亞太地區 (APAC)。 根據位置,將使用者佈建至個別的 AD 網域。 透過啟用佈建代理程式上的轉介追蹤,處理跨網域管理員參照和全樹系查詢。
重要的設定層面
- 設定兩個佈建代理程式節點以供高可用性和容錯移轉。
- 設定佈建代理程式上的轉介追蹤。
- 使用佈建代理程式設定精靈以使用您的 Microsoft Entra 租用戶註冊 AD 父系網域和所有 AD 子網域。
- 建立每個目標網域的個別 HR2AD 佈建應用程式。
- 當設定每個佈建應用程式時,請自可用 AD 網域的下拉式清單選取 AD 父系網域。 選取父系網域可確保全樹系查詢,並同時產生屬性 (例如 userPrincipalName、samAccountName 和 mail) 的唯一值。
- 一併使用 parentDistinguishedName 與運算式對應,以在正確的子網域和 OU 容器中動態建立使用者。
- 使用佈建應用程式中的 [範圍篩選條件],定義每個應用程式要處理的使用者。
- 若要解決跨網域管理員參照,請建立個別 HR2AD 佈建應用程式以僅更新管理員屬性。 將此應用程式的範圍設定為所有使用者。
- 設定略過刪除超出範圍的旗標以避免帳戶意外停用。
部署拓撲 5:使用單一應用程式,將所有使用者從雲端 HR 佈建至多個內部部署 Active Directory 網域 (具有跨網域可見度)
如果您想要使用單一佈建應用程式以管理屬於所有 AD 父系和子網域的使用者,請使用此拓撲。 如果佈建規則在所有網域中皆為一致且不需要佈建作業的委派管理,則建議使用此拓撲。 此拓撲支援解決跨網域管理員參照,並可以執行全樹系的唯一性檢查。
例如:在圖表中,單一佈建應用程式會管理依區域分組的三個不同子網域中使用者:北美洲 (NA)、歐洲、中東及非洲 (EMEA) 和亞太地區 (APAC)。 parentDistinguishedName 的屬性對應會用於在適當的子網域中動態建立使用者。 透過啟用佈建代理程式上的轉介追蹤,處理跨網域管理員參照和全樹系查詢。
重要的設定層面
- 設定兩個佈建代理程式節點以供高可用性和容錯移轉。
- 設定佈建代理程式上的轉介追蹤。
- 使用佈建代理程式設定精靈以使用您的 Microsoft Entra 租用戶註冊 AD 父系網域和所有 AD 子網域。
- 建立整個樹系的單一 HR2AD 佈建應用程式。
- 當設定佈建應用程式時,請自可用 AD 網域的下拉式清單選取 AD 父系網域。 選取父系網域可確保全樹系查詢,並同時產生屬性 (例如 userPrincipalName、samAccountName 和 mail) 的唯一值。
- 一併使用 parentDistinguishedName 與運算式對應,以在正確的子網域和 OU 容器中動態建立使用者。
- 如果您使用範圍篩選器,請設定略過刪除超出範圍的旗標以避免帳戶意外停用。
部署拓撲 6:使用個別應用程式,將不同的使用者從雲端 HR 佈建至中斷連線的內部部署 Active Directory 樹系
如果您的 IT 基礎結構有中斷連線/不相鄰的 AD 樹系且您必須根據業務關係將使用者佈建至不同的樹系,請使用此拓撲。 例如:在子公司 Contoso 工作的使用者必須佈建至 contoso.com 網域,且在子公司 Fabrikam 工作的使用者必須佈建至 fabrikam.com 網域。
重要的設定層面
- 設定兩個佈建代理程式集以供高可用性和容錯移轉,每個樹系各一個。
- 建立兩個不同的佈建應用程式,每個樹系各一個。
- 如果您必須解決樹系內的跨網域參照,請啟用佈建代理程式上的轉介追蹤。
- 建立每個中斷連線樹系的個別 HR2AD 佈建應用程式。
- 當設定每個佈建應用程式時,請自可用 AD 網域名稱的下拉式清單選取適當的 AD 父系網域。
- 設定略過刪除超出範圍的旗標以避免帳戶意外停用。
部署拓撲 7:使用個別應用程式,將不同的使用者從多個雲端 HR 佈建至中斷連線的內部部署 Active Directory 樹系
在大型組織中,有多個 HR 系統是很常見的事。 在商務 M&A (合併和收購) 案例中,您可能需要將內部部署 Active Directory 連線至多個 HR 來源。 如果您有多個 HR 來源並想要將身分識別從這些 HR 來源導入至相同或不同的內部部署 Active Directory 網域,則建議使用拓撲。
重要的設定層面
- 設定兩個佈建代理程式集以供高可用性和容錯移轉,每個樹系各一個。
- 如果您必須解決樹系內的跨網域參照,請啟用佈建代理程式上的轉介追蹤。
- 建立每個 HR 系統和內部部署 Active Directory 組合的個別 HR2AD 佈建應用程式。
- 當設定每個佈建應用程式時,請自可用 AD 網域名稱的下拉式清單選取適當的 AD 父系網域。
- 設定略過刪除超出範圍的旗標以避免帳戶意外停用。
規劃範圍篩選器和屬性對應
當您啟用從雲端 HR 應用程式至 Active Directory 或 Microsoft Entra ID 的佈建,Microsoft Entra 系統管理中心會透過屬性對應來控制屬性值。
定義範圍篩選器
使用範圍篩選器以定義以屬性為基礎的規則,進而決定應將哪些使用者從雲端 HR 應用程式佈建至 Active Directory 或 Microsoft Entra ID。
當您起始「入職者」流程,請收集下列需求:
- 雲端 HR 應用程式是否適用於員工和約聘員工的入職?
- 您是否計劃使用雲端 HR 應用程式至 Microsoft Entra 使用者佈建來管理員工和約聘員工?
- 您是否僅針對雲端 HR 應用程式使用者的子集,計劃推行雲端 HR 應用程式至 Microsoft Entra 使用者佈建? 範例可能僅適用於員工。
依照您的需求,當設定屬性對應時,您可以設定 [來源物件範圍] 欄位以選取雲端 HR 應用程式中的哪些使用者應在佈建至 Active Directory 的範圍內。 如需詳細資訊,請參閱常用範圍篩選器的雲端 HR 應用程式教學課程。
決定相符的屬性
透過佈建,您便可以符合來源和目標系統之間的現有帳號。 當整合雲端 HR 應用程式與 Microsoft Entra 佈建服務時,您可以設定屬性對應以決定應從雲端 HR 應用程式傳送至 Active Directory 或 Microsoft Entra ID 的使用者資料。
當您起始「入職者」流程,請收集下列需求:
- 在此雲端 HR 應用程式中用於識別每位使用者的唯一識別碼為何?
- 從身分識別生命週期的觀點而言,您要如何處理重新僱用員工? 重新僱用的員工要保留舊的員工識別碼嗎?
- 您是否事先處理未來的員工,並為他們建立 Active Directory 帳戶?
- 從身分識別生命週期或其他觀點而言,您要如何處理員工和約聘員工之間的轉換?
- 轉換的使用者是否保留其舊的 Active Directory 帳戶或取得新的帳戶?
依照您的需求,Microsoft Entra ID 可透過提供常數值或撰寫屬性對應的運算式以支援屬性對屬性的直接對應。 這項彈性可供您充分控制目標應用程式屬性中填入的內容。 您可以使用 Microsoft Graph API 和 Graph 總管,將您的使用者佈建屬性對應和結構描述匯出成 JSON 檔案,然後將其匯回到 Microsoft Entra ID 中。
根據預設,代表唯一員工標識符的雲端 HR 應用程式中的屬性會作為對應至 Active Directory 中唯一屬性的比對屬性。例如,在 Workday 應用程式案例中,Workday WorkerID 屬性會對應至 Active Directory employeeID 屬性。
您可以設定多個相符的屬性並指派相符的優先順序。 這些屬性會以相符的優先順序加以評估。 只要找到相符項目,便不會評估進一步比對屬性。
您也可以自訂預設屬性對應,例如變更或刪除現有的屬性對應。 您也可以根據您的業務需求建立新的屬性對應。 如需詳細資訊,請參閱雲端 HR 應用程式教學課程 (例如 Workday),以取得要對應的自訂屬性清單。
判斷使用者帳戶狀態
預設情況下,佈建連接器應用程式會將 HR 使用者設定檔狀態對應到使用者帳戶狀態。 此狀態可用於判斷是否要啟用或停用使用者帳戶。
當您起始「入職者-離職者」流程,請收集下列需求。
處理 | 需求 |
---|---|
入職者 | 從身分識別生命週期的觀點而言,您要如何處理重新僱用員工? 重新僱用的員工要保留舊的員工識別碼嗎? |
您是否事先處理未來的員工,並為他們建立 Active Directory 帳戶? 這些帳戶是否以已啟用或已停用狀態建立? | |
從身分識別生命週期或其他觀點而言,您要如何處理員工和約聘員工之間的轉換? | |
轉換的使用者是否保留其舊的 Active Directory 帳戶或取得新的帳戶? | |
離職者 | Active Directory 中員工和約聘員工的終止處理方式是否不同? |
針對處理使用者終止,考量的生效日期為何? | |
員工和約聘員工之間的轉換如何影響現有的 Active Directory 帳戶? | |
如何處理 Active Directory 中的撤銷作業? 如果未來僱用的員工是在 Active Directory 中作為「入職者」流程的一部分建立,則必須處理撤銷的作業。 |
依照您的需求,您可以使用 Microsoft Entra 運算式來自訂對應邏輯,以便根據資料點的組合啟用或停用 Active Directory 帳戶。
將雲端 HR 應用程式對應至 Azure Directory 使用者屬性
每個雲端 HR 應用程式皆會隨附預設雲端 HR 應用程式至 Active Directory 的對應。
當您起始「入職者-調職者-離職者」流程,請收集下列需求。
處理 | 需求 |
---|---|
入職者 | Active Directory 帳戶建立流程是否為手動、自動或部分自動? |
您是否計劃將自訂屬性從雲端 HR 應用程式傳播至 Active Directory? | |
調職者 | 在雲端 HR 應用程式中執行調職者作業時,您想要處理哪些屬性? |
您是否在使用者更新時執行任何特定的屬性驗證? 如果是,請提供詳細資料。 | |
離職者 | Active Directory 中員工和約聘員工的終止處理方式是否不同? |
針對處理使用者終止,考量的生效日期為何? | |
員工和約聘員工之間的轉換如何影響現有的 Active Directory 帳戶? |
依照您的需求,您可以修改對應以符合您的整合目標。 如需詳細資訊,請參閱特定雲端 HR 應用程式教學課程 (例如 Workday),以取得要對應的自訂屬性清單。
產生唯一的屬性值
如 CN、samAccountName 和 UPN 等屬性具有唯一條件約束。 當您起始「入職者」流程時,您可能需要產生唯一的屬性值。
Microsoft Entra ID 函式 SelectUniqueValues 會評估每個規則,然後檢查目標系統中所產生值的唯一性。 如需範例,請參閱 產生 userPrincipalName (UPN) 屬性的唯一值。
注意
此功能目前僅適用於 Workday 到 Active Directory、SAP SuccessFactors 到 Active Directory 使用者佈建,以及 API 驅動的佈建到內部部署的 Active Directory。 不支援與其他佈建應用程式搭配使用。
設定 Active Directory OU 容器指派
根據業務單位、位置和部門,將 Active Directory 使用者帳戶放入容器是常見的需求。 當起始「調職者」流程時且如果有監督組織的變更,您可能必須在 Active Directory 將使用者從 OU 移至另一個 OU。
使用 Switch() 函式以設定 OU 指派的商務邏輯,並將其對應至 Active Directory 屬性 parentDistinguishedName。
例如,如果您想要根據 HR 屬性 Municipality 在 OU 中建立使用者,則請使用下列運算式:
Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")
使用此運算式時,如果 Municipality 值為達拉斯、奧斯汀、西雅圖或倫敦,則會在對應 OU 中建立使用者帳戶。 如果沒有相符項目,則會在預設 OU 中建立帳戶。
規劃新使用者帳戶的密碼傳送
當起始「入職者」流程時,您必須設定並傳送新使用者帳戶的臨時密碼。 透過雲端 HR 至 Microsoft Entra 使用者佈建,您可以為使用者在第一天使用時,推出 Microsoft Entra ID 自助密碼重設 (SSPR) 功能。
SSPR 是一種簡單的方法,以便 IT 管理員讓使用者重設其密碼或解除鎖定其帳戶。 您可以將 [行動電話號碼] 屬性從雲端 HR 應用程式佈建至 Active Directory,並與 Microsoft Entra ID 加以同步。 在 [行動電話號碼] 屬性處於 Microsoft Entra ID 後,您可以為使用者的帳戶啟用 SSPR。 然後在第一天使用時,新的使用者可以使用已註冊和已驗證的行動電話號碼進行驗證。 如需如何預先填入驗證連絡人資訊的詳細資訊,請參閱 SSPR 文件。
規劃初始週期
當第一次執行 Microsoft Entra 佈建服務時,會針對雲端 HR 應用程式執行初始週期以建立雲端 HR 應用程式中所有使用者物件的快照集。 初始週期所花費的時間,直接取決於目標系統中存在的使用者數目。 針對具有超過 100,000 使用者的某些雲端 HR 應用程式租用戶,初始週期可能需要很長的時間。
針對大型雲端 HR 應用程式租用戶 (>30,000 使用者),請以漸進式階段執行初始週期。 僅在您確認為不同使用者佈建案例在 Active Directory 中設定正確的屬性之後,才能開始累加式更新。 請遵循此處的順序。
- 透過設定範圍篩選器,針對有限的使用者集執行初始週期。
- 針對第一次執行,請確認 Active Directory 帳戶佈建和所選使用者設定的屬性值。 如果結果符合預期,請展開範圍篩選器以漸進式包含更多使用者,並確認第二次執行的結果。
當您滿意測試使用者的初始週期結果,請開始累加式更新。
規劃測試與安全性
部署作業包含從初始試驗到啟用使用者佈建等多個階段。 在每個階段,都請確保您正在測試預期結果。 此外,也要稽核稽核週期。
規劃測試
在設定雲端 HR 應用程式至 Microsoft Entra 使用者佈建之後,請執行測試案例以確認此解決方案是否符合您組織的需求。
案例 | 預期的結果 |
---|---|
在雲端 HR 應用程式中僱用新的員工。 | - 使用者帳戶會在 Active Directory 中佈建。 - 使用者可以登入 Active Directory 網域應用程式並執行所需的動作。 - 如果已設定 Microsoft Entra Connect 同步,則也會在 Microsoft Entra ID 中建立使用者帳戶。 |
在雲端 HR 應用程式中終止使用者。 | - 在 Azure Directory 中停用使用者帳戶。 - 使用者無法登入 Active Directory 保護的任何企業應用程式。 |
在雲端 HR 應用程式中更新使用者監督組織。 | 依照屬性對應,在 Active Directory 中將使用者帳戶從 OU 移至另一個 OU。 |
HR 更新雲端 HR 應用程式中的使用者管理員。 | Active Directory 中的 [管理員] 欄位會更新,以反映新的管理員名稱。 |
HR 重新僱用員工為新的角色。 | 行為取決於雲端 HR 應用程式如何設定以產生員工識別碼。 如果重新僱用的員工使用舊員工識別碼,連接器會為該使用者啟用現有的 Active Directory 帳戶。 如果重新僱用的員工取得新的員工識別碼,連接器會為該使用者建立新的 Active Directory 帳戶。 |
HR 將員工轉換為約聘員工,或將約聘員工轉換為員工。 | 為新的角色建立新的 Active Directory 帳戶並於轉換生效日期停用舊的帳戶。 |
使用先前結果,決定如何依照所建立的時間表將自動使用者佈建實作轉換至實際執行環境。
提示
當您重新整理測試環境和生產資料時,請使用資料簡化和資料清除等技術,移除或遮罩敏感性個人資料以符合隱私權和安全性標準。
規劃安全性
在部署新的服務中,需要進行安全性檢閱是很常見的。 如果需要或尚未執行安全性檢閱,請參閱 Microsoft Entra ID 的許多白皮書,這些白皮書提供身分識別即服務的概觀。
規劃復原
雲端 HR 使用者佈建實作可能無法在實際執行環境中如預期運作。 如果屬於上述情況,則下列復原步驟可以協助您還原至先前正確的狀態。
- 請檢閱佈建記錄,以判斷受影響的使用者或群組上執行哪些不正確的作業。 如需佈建摘要報告和記錄的詳細資訊,請參閱管理雲端 HR 應用程式使用者佈建。
- 受影響使用者或群組的最後正確狀態可透過佈建記錄或檢閱目標系統 (Microsoft Entra ID 或 Active Directory) 來判斷。
- 與應用程式擁有者合作,使用最後正確狀態的值,來更新應用程式中直接受影響的使用者或群組。
部署雲端 HR 應用程式
選擇符合您解決方案需求的雲端 HR 應用程式。
Workday:若要將員工設定檔從 Workday 匯入至 Active Directory 和 Microsoft Entra ID,請參閱教學課程:設定 Workday 以進行自動使用者佈建。 您也可以將電子郵件地址、使用者名稱、電話號碼寫回至 Worday。
SAP SuccessFactors:若要將員工設定檔從 SuccessFactors 匯入至 Active Directory 和 Microsoft Entra ID,請參閱教學課程:設定 SAP SuccessFactors 以進行自動使用者佈建。 您也可以將電子郵件和使用者名稱寫回至 SuccessFactors。
管理您的設定
Microsoft Entra ID 可以透過佈建記錄和報表,提供組織使用者佈建使用方式和作業健康情況的更多深入解析。
取得報表和記錄的深入解析
在初始週期成功之後,Microsoft Entra 佈建服務會以每個應用程式特定教學課程中定義的間隔,無限期執行累加式更新,直到發生下列其中一個事件為止:
- 已手動停止此服務。 使用 Microsoft Entra 系統管理中心或適當的 Microsoft Graph API 命令,觸發新的初始週期。
- 新的初始週期會因屬性對應或範圍篩選器中的變更而觸發。
- 佈建流程會因高錯誤率而進入隔離。 若其流程處於隔離超過四週,此時會自動停用。
若要檢閱這些事件和佈建服務所執行的所有其他活動,請了解如何檢閱記錄並取得佈建活動的報表。
Azure 監視器記錄
佈建服務所執行的所有活動都會記錄在 Microsoft Entra 佈建記錄中。 您可以將Microsoft Entra 佈建記錄以路由傳送到 Log Analytics 工作區,該工作區會將您的資料傳送至 Azure 監視器記錄和 Microsoft Entra 活頁簿,讓您可以在其中查詢資料,以找出事件和分析趨勢,並跨各種資料來源執行相互關聯。 觀賞這段影片,了解在實際使用者案例中針對 Microsoft Entra 記錄使用 Azure 監視器記錄。
若要啟用 Log Analytics 和 Microsoft Entra 活頁簿,您需要設定 Log Analytics 工作區。 然後,透過設定診斷設定,將資料以路由傳送到適當的端點。 如需詳細資訊,請參閱
管理個人資料
Windows 伺服器上安裝的 Microsoft Entra Connect 佈建代理程式會在 Windows 事件記錄中建立記錄,取決於雲端 HR 應用程式至 Active Directory 屬性的對應,該記錄可能包含個人資料。 若要符合使用者隱私權義務,請設定 Windows 排程工作來清除事件記錄,並確定沒有任何資料保留超過 48 小時。
如果項目超過 30 天,Microsoft Entra 佈建服務不會產生報表、執行分析或提供深入解析,因為服務不會儲存、處理或保留超過 30 天的任何資料。
管理 Joiner-Mover-Leaver 生命週期工作流程
您可以擴充 HR 驅動的佈建流程,以進一步自動化與新進員工、僱用變更和終止相關聯的業務流程和安全性控制。 透過 Microsoft Entra ID 控管生命週期工作流程,您可以設定 Joiner-Mover-Leaver 工作流程,例如:
- 新進員工加入前的「X」天、傳送電子郵件給經理、將使用者新增至群組,並產生第一次登入的暫時存取權通行證。
- 當使用者的部門、職位或群組成員身分變更時,啟動自訂任務。
- 在工作的最後一天,傳送電子郵件給管理員,並從群組和授權指派中移除使用者。
- 終止後的「X」天,請從 Microsoft Entra ID 刪除使用者。
疑難排解
若要疑難排解在佈建期間可能發生的任何問題,請參閱下列文章:
- 設定使用者佈建至 Microsoft Entra Gallery 應用程式時發生問題
- 將屬性從內部部署的 Active Directory 同步至 Microsoft Entra ID 以佈建至應用程式
- 在設定 Microsoft Entra 資源庫應用程式之使用者佈建的情況下儲存系統管理員認證時發生問題
- 未將任何使用者佈建至 Microsoft Entra 資源庫應用程式
- 一組錯誤的使用者被佈建至 Microsoft Entra 資源庫應用程式
- 設定 Windows 事件檢視器以進行代理程式疑難排解
- 設定 Microsoft Entra 系統管理中心佈建記錄以進行服務疑難排解
- 了解 AD 使用者帳戶建立作業的記錄
- 了解管理員更新作業的記錄
- 解決常見的錯誤