什麼是 HR 驅動佈建?
HR 驅動佈建是根據人力資源系統建立數位身分識別的程序。 HR 系統會成為這些新建數位身分識別的授權來源,而且通常是許多佈建流程的起始點。 例如,如果新員工加入貴公司,則會在人力資源系統中予以建立。 建立時會觸發將使用者帳戶佈建到 Active Directory,然後 Microsoft Entra Connect 會將此帳戶佈建到 Microsoft Entra ID 等等。
組織可能會有內部部署 HR 系統,例如 SAP HCM、雲端式 HR 系統,例如 SAP SuccessFactors 或 Workday,或兩者混合。 在過去,與內部部署 HR 系統整合,以利用 SAP 身分識別管理 (SAP IDM) 或 Microsoft Identity Manager (MIM) 等內部部署 HR 工具,在 Active Directory 中建立使用者。 Microsoft Entra 也可用於內部部署 HR 系統、在 Active Directory 中建立及更新使用者,或針對沒有 Active Directory 的環境,在 Microsoft Entra 識別符中建立及更新使用者。
以內部部署為基礎的 HR 佈建
以內部部署為基礎的 HR 佈建是藉由使用本機 HR 系統和佈建新數位身分識別的方法來完成。
HR 系統隨附於各種套件、軟體套件組合,而且可能會使用 SQL Server 或檔案與其他系統交換資料。
使用 SAP 人力資源管理 (HCM) 並擁有 SAP SuccessFactors 的客戶可以使用 SAP Integration Suite 將身分識別帶入 Microsoft Entra ID,以同步處理 SAP HCM 與 SAP SuccessFactors 之間的背景工作清單。 您可以從該處直接將身分識別帶入 Microsoft Entra ID,或將它們佈建到 Active Directory Domain Services 中。
Microsoft Entra API 驅動的輸入佈建也可讓您與內部部署 HR 系統整合。 一般檔案、CSV 檔案和 SQL 暫存表通常用於企業整合案例。 員工、承包商和廠商資訊會定期匯出為下列其中一種格式,並使用自動化工具將此資料與企業身分識別目錄同步。 合作夥伴可以建置自訂 HR 連接器,以符合從記錄系統到Microsoft Entra ID 之資料串流的不同整合需求。 透過 API 驅動的輸入佈建,整合會簡化,因為Microsoft Entra 佈建服務會負責執行身分識別設定檔比較、限制資料同步至 IT 系統管理員所設定的範圍邏輯,以及執行 Microsoft Entra 系統管理中心所管理的規則型屬性流程和轉換。
目前,在這些 HR 系統中建立新的身分識別時,Microsoft 內部部署 HR 佈建解決方案會使用 Microsoft Identity Manager 來觸發佈建。 使用 MIM,您可以將來自內部部署 HR 系統的使用者佈建到 Active Directory 或 Microsoft Entra ID。 如需 Microsoft Identity Manager 及其支援系統的詳細資訊,請參閱 Microsoft Identity Manager 文件。
雲端人力資源應用程式到 Microsoft Entra 的使用者佈建
過去,IT 人員依賴手動方法來建立、更新和刪除員工。 他們使用了上傳 CSV 檔案或自訂指令碼來同步員工資料之類的方法。 這些佈建程序很容易出錯、不安全,且難以管理。
為了管理員工、廠商或臨時工的身分識別生命週期,Microsoft Entra 使用者佈建服務提供與雲端式人力資源 (HR) 應用程式的整合。 應用程式的範例包括 Workday 或 SuccessFactors。
Microsoft Entra ID 使用這項整合來啟用下列雲端 HR 應用程式工作流程:
- 將使用者佈建至 Active Directory:將選取的使用者集合從雲端 HR 應用程式佈建至一或多個 Active Directory 網域。
- 將僅限雲端使用者佈建至 Microsoft Entra ID:在未使用 Active Directory 的情況下,直接從雲端 HR 應用程式佈建使用者至 Microsoft Entra ID。
- 寫回至雲端 HR 應用程式:將電子郵件地址和使用者名稱屬性從 Microsoft Entra 寫回至雲端 HR 應用程式。
啟用的 HR 案例
Microsoft Entra 使用者佈建服務可使下列以 HR 為基礎的身分識別生命週期管理案例自動化:
- 新員工雇用:將新員工新增至雲端 HR 應用程式時,會使用將電子郵件地址和使用者名稱屬性寫回至雲端 HR 應用程式的選項,在 Active Directory 和 Microsoft Entra ID 中自動建立使用者帳戶。
- 員工屬性和個人檔案更新:在雲端 HR 應用程式中更新員工記錄 (例如名字、職稱或經理) 時,其使用者帳戶會在 Active Directory 和 Microsoft Entra ID 中自動更新。
- 員工終止:在雲端 HR 應用程式中終止員工時,其使用者帳戶會在 Active Directory 和 Microsoft Entra ID 中自動停用。
- 員工重新雇用:在雲端 HR 應用程式中重新雇用員工時,其舊帳戶可以自動重新啟用或重新佈建至 Active Directory 和 Microsoft Entra ID。
此種整合最適合誰?
雲端 HR 應用程式與 Microsoft Entra 使用者佈建的整合非常適合下列組織:
- 想要適用於雲端 HR 使用者佈建的預先建置、雲端式解決方案。
- 需要將使用者直接從雲端 HR 應用程式佈建至 Active Directory 或 Microsoft Entra ID。
- 需要使用從雲端 HR 應用程式取得的資料來佈建使用者。
- 需要僅根據在雲端 HR 應用程式中偵測到的變更資訊,將加入、調動及離開的使用者同步至一或多個 Active Directory 樹系、網域和 OU。
- 將 Office 365 用於電子郵件。
重點優勢
此種 HR 驅動 IT 佈建功能提供下列顯著的商業優勢:
- 提高生產力:您現在可以將使用者帳戶和 Office 365 授權的指派自動化,並提供金鑰群組的存取權。 自動指派可讓新進員工立即存取其作業工具並提高生產力。
- 管理風險:您可以使用從雲端 HR 應用程式流入的資料,根據員工狀態或群組成員資格來自動化變更,以提高安全性。 自動化變更可確保當使用者調職或離開組織時,會自動更新使用者身分識別和金鑰應用程式的存取權。
- 滿足合規性與治理要求:對於來源和目標系統的應用程式所執行的使用者佈建要求,Microsoft Entra ID 支援原生稽核記錄。 透過稽核,您可以從單一畫面追蹤可存取應用程式的人員。
- 管理成本:自動佈建可避免與手動佈建相關的效率不彰和人為錯誤,進而降低成本。 藉由使用舊版和過時的平台,可減少隨著時間建置自訂開發使用者佈建解決方案的需求。
管理 Joiner-Mover-Leaver 生命週期工作流程
您可以擴充 HR 驅動的佈建流程,以進一步自動化與新進員工、僱用變更和終止相關聯的業務流程和安全性控制。 透過 Microsoft Entra ID 控管生命週期工作流程,您可以設定 Joiner-Mover-Leaver 工作流程,例如:
- 新進員工加入前的「X」天、傳送電子郵件給經理、將使用者新增至群組,並產生第一次登入的暫時存取權通行證。
- 當使用者的部門、職位或群組成員身分變更時,啟動自訂任務。
- 在工作的最後一天,傳送電子郵件給管理員,並從群組和授權指派中移除使用者。
- 終止後的「X」天,請從 Microsoft Entra ID 刪除使用者。