共用方式為


教學課程:設定 Workday 來自動佈建使用者

本教學課程的目的是要說明您需要執行的步驟,以將背景工作配置檔從 Workday 布建到 內部部署的 Active Directory (AD)。

注意

如果您想要從 Workday 布建的使用者需要內部部署 AD 帳戶和Microsoft Entra 帳戶,請使用本教學課程。

  • 如果 Workday 中的使用者只需要Microsoft Entra 帳戶(僅限雲端使用者),請參閱將 Workday 設定為Microsoft Entra ID 使用者布建的教學課程。
  • 若要設定從 Microsoft Entra ID 到 Workday 等屬性的回寫,例如電子郵件地址、使用者名稱和電話號碼,請參閱設定 Workday 回寫的教學課程

下列影片提供規劃與 Workday 布建整合時相關步驟的快速概觀。

概觀

Microsoft Entra 使用者布建服務 會與 Workday 人力資源 API 整合,以布建用戶帳戶。 Microsoft Entra 使用者布建服務所支援的 Workday 使用者布建工作流程,可自動化下列人力資源和身分識別生命週期管理案例:

  • 僱用新員工 - 將新員工 新增至 Workday 時,會自動在 Active Directory 中建立使用者帳戶、Microsoft Entra 標識符,並選擇性地Microsoft 365 和其他由 Microsoft Entra ID 支援的 SaaS 應用程式,並將 IT 管理的聯繫人資訊回寫至 Workday。

  • 員工屬性和配置檔更新 - 當員工記錄在 Workday 中更新時(例如其名稱、職稱或經理),其用戶帳戶會在 Active Directory 中自動更新、Microsoft Entra ID,以及選擇性地Microsoft 365 和其他 Microsoft Entra ID 所支援的其他 SaaS 應用程式。

  • 員工終止 - 當員工在 Workday 中終止時,會在 Active Directory 中自動停用其使用者帳戶、Microsoft Entra 標識符,以及選擇性地Microsoft 365 和其他 由 entra ID Microsoft 支援的其他 SaaS 應用程式。

  • 員工重新回租 - 當員工在 Workday 中重新租出時,其舊帳戶可以自動重新啟用或重新佈建至 Active Directory、Microsoft Entra 識別符,以及選擇性地Microsoft 365 和其他 Microsoft Entra 標識符支援的 SaaS 應用程式。

最新功能

本節會擷取最近的 Workday 整合增強功能。 如需完整的更新、計劃性變更和封存清單,請流覽 Microsoft Entra 識別元的新功能?

  • 2020 年 10 月 - 已啟用 Workday 隨選布建: 使用 選布建,您現在可以在 Workday 中測試特定使用者配置檔的端對端布建,以確認您的屬性對應和表達式邏輯。

  • 2020 年 5 月 - 能夠將電話號碼回寫至 Workday: 除了電子郵件和用戶名稱之外,您現在可以將工作電話號碼和行動電話從 Microsoft Entra ID 回寫至 Workday。 如需詳細資訊,請參閱 回寫應用程式教學課程

  • 2020 年 4 月 - 最新版 Workday Web Services (WWS) API 的支援: 3 月和 9 月的兩年時間,Workday 提供功能豐富的更新,可協助您達成業務目標和變更員工需求。 若要跟上 Workday 所提供的新功能,您可以直接指定您想要在連線 URL 中使用的 WWS API 版本。 如需如何指定 Workday API 版本的詳細資訊,請參閱設定 Workday 連線一節

誰最適合使用此使用者佈建解決方案?

此 Workday 使用者布建解決方案最適合:

  • 想要預先建置的雲端式解決方案以布建 Workday 用戶的組織

  • 需要將使用者從 Workday 直接布建到 Active Directory 或Microsoft Entra 標識符的組織

  • 使用 Workday HCM 模組取得的數據來佈建使用者的組織(請參閱 Get_Workers

  • 需要加入、移動和離開使用者以同步處理至一或多個 Active Directory 樹系、網域和 OU 的組織,僅根據 Workday HCM 模組中偵測到的變更(請參閱 Get_Workers

  • 使用 Microsoft 365 來收發電子郵件的組織

解決方案架構

本節針對常見的混合式環境,說明端對端使用者佈建方案架構。 有兩個相關的流程:

  • 授權 HR 數據流 – 從 Workday 到 內部部署的 Active Directory:在此流程中,例如「新進員工」、「轉移」、「終止」等背景工作事件會先發生在雲端 Workday HR 租使用者中,然後事件數據會透過 Microsoft Entra ID 和 Provisioning Agent 流入 內部部署的 Active Directory。 視事件而定,它可能會在 AD 中產生建立/更新/啟用/停用作業。
  • 回寫流程 – 從 內部部署的 Active Directory 到 Workday:在 Active Directory 中建立帳戶之後,它會透過 Microsoft Entra Connect 與 Microsoft Entra ID 同步處理,以及電子郵件、使用者名稱和電話號碼等資訊可以寫回 Workday。

概觀的概念圖表。

端對端使用者資料流程

  1. HR 小組會在 Workday HCM 中執行背景工作交易 (Joiners/Movers/Leavers 或 New Hires/Transfers/Terminations)
  2. Microsoft Entra 布建服務會從 Workday HR 執行身分識別的排程同步處理,並識別需要處理才能與 內部部署的 Active Directory 同步處理的變更。
  3. Microsoft Entra 佈建服務會使用包含 AD 帳戶建立/更新/啟用/停用作業的要求承載,來叫用內部部署的 Microsoft Entra Connect 佈建代理程式。
  4. Microsoft Entra Connect 佈建代理程式使用服務帳戶來新增/更新 AD 帳戶資料。
  5. Microsoft Entra Connect / AD 同步 引擎會執行差異同步,以提取 AD 中的更新。
  6. Active Directory 會與 Microsoft Entra ID 同步更新。
  7. 如果已設定 Workday 回寫應用程式,它會將電子郵件、使用者名稱和電話號碼等屬性寫回 Workday。

規劃您的部署

將 Workday 設定為 Active Directory 使用者布建需要相當多的規劃,涵蓋不同層面,例如:

  • 設定 Microsoft Entra Connect 佈建代理程式
  • 要部署的 Workday 到 AD 使用者佈建應用程式數目
  • 選取正確的比對標識碼、屬性對應、轉換和範圍篩選

如需完整的指導方針和建議的最佳做法, 請參閱雲端 HR 部署計劃

在 Workday 中設定整合系統使用者

所有 Workday 布建連接器的常見需求是,他們需要 Workday 整合系統用戶的認證,才能連線到 Workday 人力資源 API。 本節說明如何在 Workday 中建立整合系統使用者,並具有下列各節:

注意

可以略過此程式,而改用 Workday 系統管理員帳戶作為系統整合帳戶。 這適用於示範,但不建議用於生產環境部署。

建立整合系統使用者

若要建立整合系統使用者:

  1. 使用系統管理員帳戶登入 Workday 租使用者。 在 Workday 應用程式中,於搜尋方塊中輸入建立使用者,然後按兩下 [ 建立整合系統使用者]。

    建立用戶的螢幕快照。

  2. 為新的整合系統使用者提供使用者名稱和密碼,以完成建立整合系統使用者工作。

    • 取消核取 [下次登入時需要新密碼] 選項,因為此使用者以程序設計方式登入。
    • 將會話逾時分鐘保留預設值為 0,以防止使用者的會話過早逾時。
    • 選取 [不允許 UI 會話] 選項,因為它提供一層額外的安全性,可防止具有整合系統密碼的使用者登入 Workday。

    建立整合系統用戶的螢幕快照。

建立整合安全組

在此步驟中,您將在 Workday 中建立不受限制或限制的整合系統安全組,並將在上一個步驟中建立的整合系統使用者指派給此群組。

若要建立安全組:

  1. 在搜尋方塊中輸入建立安全組,然後按兩下 [ 建立安全組]。

    此螢幕快照顯示搜尋方塊中輸入的「建立安全組」,以及搜尋結果中顯示的「建立安全組 - 工作」。

  2. 完成建立 安全組 工作。

    • Workday 中有兩種類型的安全組:

      • 不受限制: 安全組的所有成員都可以存取安全組所保護的所有數據實例。
      • 限制: 所有安全組成員都可以存取安全組可存取的數據實例子集(數據列)。
    • 請洽詢您的 Workday 整合合作夥伴,以選取適合整合的安全組類型。

    • 一旦您知道群組類型,請從 [租使用者安全組類型] 下拉式清單中選取 [整合系統安全組] 或 [整合系統安全組][限制]。

      CreateSecurity Group 的螢幕快照。

  3. 建立安全組成功之後,您會看到一個頁面,您可以在其中將成員指派給安全組。 將上一個步驟中建立的新整合系統使用者新增至此安全組。 如果您使用 限制 安全組,您必須選取適當的組織範圍。

    編輯安全組的螢幕快照。

設定網域安全策略許可權

在此步驟中,您會將背景工作角色數據的網域安全策略許可權授與安全組。

若要設定網域安全策略許可權:

  1. 在搜尋方塊中輸入 安全組成員資格和存取 權,然後按兩下報表連結。

    搜尋安全組成員資格的螢幕快照。

  2. 搜尋並選取在上一個步驟中建立的安全組。

    選取安全組的螢幕快照。

  3. 單擊組名旁邊的省略號 (...),然後從功能表中選取 > [安全組維護安全組網域許可權]

    選取 [維護網域許可權] 的螢幕快照。

  4. 在 [整合許可權],將下列網域新增至允許放置存取的網域安全策略清單

    • 外部帳戶布建
    • 背景工作數據:公用背景工作報告
    • 人員數據:工作聯繫人資訊(如果您打算將聯繫人數據從 Microsoft Entra ID 回寫至 Workday,則為必要項目 資訊)
    • Workday 帳戶 (如果您打算將用戶名稱/UPN 從 Microsoft Entra ID 回寫至 Workday,則為必要帳戶)
  5. 在 [整合許可權],將下列網域新增至允許取得存取的網域安全策略清單

    • 背景工作數據:背景工作
    • 背景工作數據:所有職位
    • 背景工作數據:目前的人員配置資訊
    • 背景工作數據:背景工作配置檔上的商務標題
    • 背景工作資料:合格的背景工作 角色 (選擇性 - 新增此選項以擷取布建的背景工作資格資料)
    • 背景工作數據:技能與體驗 (選擇性 - 新增此選項以擷取布建的背景工作技能數據)
  6. 完成上述步驟之後,許可權畫面隨即出現,如下所示:

    所有網域安全性許可權的螢幕快照。

  7. 在下一個畫面上按兩下 [確定 ] 和 [完成 ],以完成設定。

設定商務程式安全策略許可權

在此步驟中,您會將背景工作數據的「商務程式安全性」原則許可權授與安全組。

注意

只有在設定 Workday 回寫應用程式連接器時,才需要此步驟。

若要設定商務程式安全原則許可權:

  1. 在搜尋方塊中輸入商務程序原則,然後按兩下 [編輯商務程式安全策略] 工作的連結

    顯示搜尋方塊中 [商務程序原則] 的螢幕快照,並已選取 [編輯商務程式安全策略 - 工作]。

  2. 在 [ 商務程序類型] 文本框中,搜尋 [聯繫人 ],然後選取 [ 工作聯繫人變更 商務程式],然後按兩下 [ 確定]。

    顯示 [編輯商務程式安全策略] 頁面和 [商務程序類型] 功能選取 [工作聯繫人變更] 的螢幕快照。

  3. 在 [ 編輯商務程式安全策略 ] 頁面上,捲動至 [變更工作聯繫人資訊][Web 服務] 區段。

  4. 選取並新增新的整合系統安全組至可起始 Web 服務要求的安全組清單。

    商務程式安全策略的螢幕快照。

  5. 按一下 [完成]

啟用安全策略變更

若要啟用安全原則變更:

  1. 在搜尋方塊中輸入activate,然後按兩下 [啟用擱置的安全策略變更] 連結

    啟動的螢幕快照。

  2. 輸入稽核用途的批注,然後按兩下 [ 確定],以開始啟動擱置的安全策略變更工作。

  3. 勾選 [確認] 複選框,然後按兩下 [確定],以完成下一個畫面上的工作

    啟用擱置中安全性的螢幕快照。

布建代理程式安裝必要條件

請檢閱布 建代理程式安裝必要條件 ,再繼續進行下一節。

設定從 Workday 到 Active Directory 的使用者布建

本節提供從 Workday 到整合範圍內每個 Active Directory 網域的用戶帳戶布建步驟。

第 1 部分:新增佈建連接器應用程式和下載佈建代理程式

若要將 Workday 設定為 Active Directory 布建:

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [新增應用程式]

  3. 搜尋 Workday 至 Active Directory 使用者布建,並從資源庫新增該應用程式。

  4. 新增應用程式並顯示應用程式詳細數據畫面之後,請選取 [ 布建]。

  5. 將 [布建模式] 變更為 [自動]。

  6. 按一下顯示的資訊橫幅以下載布建代理程式。

    下載代理程式的螢幕快照。

第 2 部分:安裝並設定內部部署佈建代理程式

若要佈建至內部部署的 Active Directory,則必須在已加入網域並可透過網路存取所需 Active Directory 網域的伺服器上,安裝佈建代理程式。

將下載的代理程式安裝程式傳送至伺服器主機,並遵循安裝代理程式一節中列出的步驟來完成代理程式設定。

第 3 部分:在布建應用程式中,設定 Workday 和 Active Directory 的連線能力

在此步驟中,我們會建立與 Workday 和 Active Directory 的連線。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 Identity Applications Enterprise 應用程式>> Workday 至第 1 部分中建立的 Active Directory 使用者布建應用程式。>

  3. 完成 [系統管理員認證] 區段,如下所示:

    • Workday 用戶 名稱 – 輸入 Workday 整合系統帳戶的用戶名稱,並附加租用戶功能變數名稱。 看起來應該像這樣: username@tenant_name

    • Workday 密碼 – 輸入 Workday 整合系統帳戶的密碼

    • Workday Web 服務 API URL – 輸入租使用者的 Workday Web 服務端點 URL。 URL 會決定連接器所使用的 Workday Web 服務 API 版本。

      URL 格式 使用的 WWS API 版本 需要 XPATH 變更
      https://####.workday.com/ccx/service/tenantName v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.# Yes

      注意

      如果未在 URL 中指定任何版本資訊,應用程式會使用 Workday Web Services (WWS) v21.1,而且不需要變更隨附於應用程式的預設 XPATH API 運算式。 若要使用特定的 WWS API 版本,請在 URL 中指定版本號碼
      範例: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      如果您使用 WWS API v30.0+,請在開啟布建作業之前,更新 [屬性對應 -> 進階選項 -> Workday 編輯屬性清單] 下的 XPATH API 表達式,請參閱管理您的設定Workday 屬性參考一節。

    • Active Directory 樹系 – 向代理程式註冊的 Active Directory 網域「名稱」。 請使用下拉式清單來選取用於佈建的目標網域。 此值通常是如下的字串:contoso.com

    • Active Directory 容器 - 輸入容器 DN,其中是代理程式預設應建立使用者帳戶的位置。 範例: OU=Standard Users,OU=Users,DC=contoso,DC=test

      注意

      只有在屬性對應中未設定 parentDistinguishedName 屬性時,才會對用戶帳戶建立進行這項設定。 此設定不會用於使用者搜尋或更新作業。 整個網域的子樹狀會落在搜尋作業的範圍中。

    • 通知電子郵件 – 輸入您的電子郵件地址,然後勾選 [發生失敗時傳送電子郵件] 核取方塊。

      注意

      如果佈建作業進入 隔離 狀態,Microsoft Entra 佈建服務會傳送電子郵件通知。

    • 按一下 [測試連線] 按鈕。 如果連線測試成功,請按一下頂端的 [儲存] 按鈕。 如果失敗,請仔細檢查代理程式設定上設定的 Workday 認證和 AD 認證是否有效。

      顯示 [布建] 頁面的螢幕快照,其中包含輸入的認證。

    • 成功儲存認證之後,[對應] 區段會顯示將 Workday 背景工作角色同步處理至內部部署 Active Directory 的預設對應

第 4 部分:設定屬性對應

在本節中,您會設定用戶數據從 Workday 流向 Active Directory 的方式。

  1. 在 [布建] 索引標籤的 [對應] 底下,按兩下 [同步處理工作日背景工作角色至內部部署 Active Directory]。

  2. 在 [ 來源物件範圍 ] 字段中,您可以藉由定義一組以屬性為基礎的篩選,來選取 Workday 中的哪些使用者應該在布建至 AD 的範圍內。 默認範圍是「Workday 中的所有使用者」。 範例篩選:

    • 範例:範圍至背景工作標識符介於 10000000 到 2000000 之間的使用者(不包括 200000000)

      • 屬性:WorkerID

      • 運算子:REGEX Match

      • 值:(1[0-9][0-9][0-9][0-9][0-9][0-9])

    • 範例:僅員工和非約聘人員

      • 屬性:EmployeeID

      • 運算子: 不是 NULL

    提示

    第一次設定佈建應用程式時,您將需要測試及確認屬性對應和運算式,以確保它提供您所需的結果。 Microsoft建議在來源物件範圍隨選布建下使用範圍篩選條件,以使用 Workday 中的一些測試用戶來測試您的對應。 確認對應能夠運作之後,您便可以移除篩選,或逐漸擴大篩選來包含更多使用者。

    警告

    佈建引擎的預設行為是停用/刪除超出範圍的使用者。 這在 Workday 與 AD 整合中可能不理想。 若要覆寫此預設行為,請參閱略過刪除超出範圍的使用者帳戶一文

  3. 在 [目標物件動作] 欄位中,您可以全域篩選在 Active Directory 上執行的動作。 最常見的動作是 [建立] 和 [更新]

  4. 在 [ 屬性對應] 區 段中,您可以定義個別 Workday 屬性對應至 Active Directory 屬性的方式。

  5. 按一下現有的屬性對應以進行更新,或按一下畫面底端的 [新增新對應] 以新增新對應。 個別屬性對應支援下列屬性:

    • 對應類型

    • 來源屬性 - Workday 中的用戶屬性。 如果您要尋找的屬性不存在,請參閱 自定義 Workday 使用者屬性清單。

    • 預設值 – 選用。 如果來源屬性具有空值,則對應會改為寫入此值。 最常見的設定是將其保留空白。

    • 目標屬性 - Active Directory 中的使用者屬性。

    • 比對使用此屬性 的物件 – 是否應該使用此對應來唯一識別 Workday 與 Active Directory 之間的使用者。 此值通常會在 Workday 的 [背景工作識別符] 字段上設定,這通常會對應至 Active Directory 中的其中一個 [員工標識符] 屬性。

    • 比對優先順序 – 您可以設定多個比對屬性。 具有多個屬性時,系統會以此欄位定義的順序進行評估。 只要找到相符項目,便不會評估進一步比對屬性。

    • 套用此對應

      • 一律 – 將此對應套用於使用者建立和更新動作

      • 僅限建立期間 - 僅將此對應套用於使用者建立動作

  6. 若要儲存您的對應,請按一下 [屬性對應] 區段頂端的 [儲存]

    此螢幕快照顯示已選取 [儲存] 動作的 [屬性對應] 頁面。

以下是 Workday 與 Active Directory 之間的一些範例屬性對應,其中包含一些常見的表達式

  • 對應至 parentDistinguishedName 屬性的運算式是用來根據一或多個 Workday 來源屬性,將使用者布建到不同的 OU。 此範例會根據用戶位於哪個城市,將使用者放在不同的 OU 中。

  • Active Directory 中的 userPrincipalName 屬性是使用重複函式 SelectUniqueValue 來產生,該函式會檢查目標 AD 網域中是否有產生的值,而且只有在唯一時才設定它。

  • 這裡有關於撰寫表示式的檔。 本節包含如何移除特殊字元的範例。

WORKDAY 屬性 ACTIVE DIRECTORY 屬性 相符標識碼? CREATE / UPDATE
WorkerID EmployeeID 只在建立時寫入
PreferredNameData cn 只在建立時寫入
SelectUniqueValue(Join(“@”, Join(“.”, [FirstName], [LastName], “contoso.com”),Join(“@”, Join(“, Mid([FirstName], 1, 1, [LastName]), ”contoso.com“),Join(”@“, Join(”.“, Mid([FirstName], 1, 2), ”LastName]), “contoso.com”)) userPrincipalName 只在建立時寫入
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) sAMAccountName 只在建立時寫入
Switch([Active], , , “0”, “True”, “1”, “False”) accountDisabled 建立 + 更新
FirstName givenName 建立 + 更新
LastName sn 建立 + 更新
PreferredNameData displayName 建立 + 更新
公司 公司 建立 + 更新
SupervisoryOrganization 部門 建立 + 更新
ManagerReference manager 建立 + 更新
BusinessTitle title 建立 + 更新
AddressLineData streetAddress 建立 + 更新
l 建立 + 更新
CountryReferenceTwoLetter co 建立 + 更新
CountryReferenceTwoLetter c 建立 + 更新
CountryRegionReference st 建立 + 更新
WorkSpaceReference physicalDeliveryOfficeName 建立 + 更新
PostalCode 郵遞區號 建立 + 更新
PrimaryWorkTelephone telephoneNumber 建立 + 更新
傳真 facsimileTelephoneNumber 建立 + 更新
行動 行動 建立 + 更新
LocalReference preferredLanguage 建立 + 更新
Switch([Municipality], “OU=Default Users,DC=contoso,DC=com”, “Dallas”, “OU=Dallas,OU=Users,DC=contoso,DC=com”, “奧斯汀”, “OU=奧斯汀,OU=Users,DC=contoso,DC=com”, “Seattle”, “OU=Seattle,OU=Users,DC=contoso,DC=com”, “London”, “OU=London,OU=Users,DC=contoso,DC=com”) parentDistinguishedName 建立 + 更新

當您的屬性對應設定完成後,您可使用隨選佈建來測試單一使用者的佈建,然後啟用並啟動使用者佈建服務

啟用及啟動使用者佈建

一旦 Workday 布建應用程式設定完成,且您已驗證布建單一使用者 隨選布建之後,您就可以開啟布建服務。

提示

根據預設,當您開啟佈建服務時,它會為範圍中的所有使用者起始佈建作業。 如果對應或 Workday 數據問題發生錯誤,布建作業可能會失敗並進入隔離狀態。 為了避免這種情況,建議您設定 [來源物件範圍] 篩選,並使用隨選佈建來對一些測試使用者測試您的屬性對應,然後再針對所有使用者啟動完整同步。 確認對應能夠運作且提供您所需的結果之後,您便可以移除篩選,或逐漸擴大篩選來包含更多使用者。

  1. 移至 [佈建] 刀鋒視窗,然後按一下 [開始佈建]

  2. 此作業會啟動初始同步處理,視 Workday 租使用者中的用戶數目而定,可能需要一個可變的時數。 您可以檢查進度列來追蹤同步週期的進度。

  3. 隨時檢查 Microsoft Entra 系統管理中心的 [布 建] 索引標籤,以查看布建服務已執行的動作。 布建記錄會列出布建服務所執行的所有個別同步事件,例如要從 Workday 讀取哪些使用者,然後接著新增或更新至 Active Directory。 如需如何檢閱布建記錄並修正布建錯誤的指示,請參閱疑難解答一節。

  4. 在初始同步完成之後,它會在 [佈建] 索引標籤中寫入稽核摘要報告,如下所示。

    布建進度列的螢幕快照

常見問題集 (FAQ)

解決方案功能問題

從 Workday 處理新進員工時,解決方案如何為 Active Directory 中的新使用者帳戶設定密碼?

當內部部署布建代理程式取得建立新 AD 帳戶的要求時,它會自動產生複雜的隨機密碼,以符合 AD 伺服器所定義的密碼複雜度需求,並在使用者對象上設定此值。 此密碼不會記錄到任何地方。

解決方案是否支援在布建作業完成之後傳送電子郵件通知?

否,目前版本不支援在完成布建作業之後傳送電子郵件通知。

解決方案是否會在 Microsoft Entra 雲端或布建代理程式層快取 Workday 使用者設定檔?

否,解決方案不會維護使用者配置檔的快取。 Microsoft Entra 布建服務只是做為數據處理者、從 Workday 讀取數據,以及寫入目標 Active Directory 或 Microsoft Entra ID。 如需用戶隱私權和數據保留的相關詳細數據,請參閱管理個人資料一節

解決方案是否支援將內部部署AD群組指派給使用者?

目前不支援此功能。 建議的因應措施是部署PowerShell腳本,以查詢 Microsoft Graph API 端點以 布建記錄數據 ,並使用該腳本來觸發群組指派等案例。 此 PowerShell 腳本可以附加至工作排程器,並部署在執行布建代理程式的相同方塊上。

解決方案會使用哪一個 Workday API 來查詢和更新 Workday 背景工作角色設定檔?

解決方案目前使用下列 Workday API:

  • 管理認證一節中使用的 Workday Web 服務 API URL 格式會決定用於Get_Workers的 API 版本

    • 如果 URL 格式為: https://####.workday.com/ccx/service/tenantName ,則會使用 API v21.1。
    • 如果 URL 格式為: https://####.workday.com/ccx/service/tenantName/Human_Resources ,則會使用 API v21.1
    • 如果 URL 格式為: https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# ,則會使用指定的 API 版本。 (範例:如果指定 v34.0,則會使用它。
  • Workday 電子郵件回寫功能使用 Change_Work_Contact_Information (v30.0)

  • Workday 使用者名稱回寫功能使用 Update_Workday_Account (v31.2)

是否可以使用兩個Microsoft Entra 租用戶來設定 Workday HCM 租使用者?

是,支持此設定。 以下是設定此案例的高階步驟:

  • 部署布建代理程式 #1,並將它註冊至 entra 租使用者Microsoft #1。
  • 部署布建代理程式 #2,並將它註冊至 Microsoft Entra 租使用者 #2。
  • 根據每個布建代理程式所管理的「子域」,使用網域來設定每個代理程式。 一個代理程式可以處理多個網域。
  • 在 Microsoft Entra 系統管理中心,在每個租用戶中設定 Workday to AD 使用者布建應用程式,並使用個別網域進行設定。

您的意見反應非常重視,因為它可協助我們設定未來版本和增強功能的方向。 我們歡迎所有意見反應,並鼓勵您在Microsoft Entra標識符的意見反應論壇中提交您的想法或改進建議。 如需與 Workday 整合相關的特定意見反應,請選取 SaaS 應用程式類別,並使用關鍵詞 Workday 來搜尋與 Workday 相關的現有意見反應。

UserVoice SaaS 應用程式的螢幕快照。

UserVoice Workday 的螢幕快照。

建議新想法時,請檢查是否有其他人已建議類似的功能。 在此情況下,您可以投票投票功能或增強要求。 您也可以留下關於特定使用案例的批注,以顯示您對想法的支援,並示範此功能對您而言如何有價值。

布建代理程序問題

布建代理程式的 GA 版本為何?

如需布建代理程式的最新 GA 版本,請參閱Microsoft Entra Connect 布建代理程式:版本發行歷程記錄

如何? 知道我的布建代理程式版本嗎?

  • 登入安裝布建代理程式的 Windows 伺服器。

  • 移至 [控制台 -> 卸載或變更程式功能表

  • 尋找對應至專案 Microsoft Entra Connect 布建代理程式的版本

    Microsoft Entra 系統管理中心的螢幕快照。

Microsoft是否會自動推送布建代理程式更新?

是,如果 Windows 服務 Microsoft Entra Connect 代理程式更新程式 啟動並執行,Microsoft會自動更新布建代理程式。

我可以在執行 Microsoft Entra Connect 的相同伺服器上安裝布建代理程式嗎?

是,您可以在執行 Microsoft Entra Connect 的相同伺服器上安裝布建代理程式。

設定時,布建代理程式會提示輸入 Microsoft Entra 管理員認證。 Agent 是否將認證儲存在本機伺服器上?

在設定期間,布建代理程式會提示Microsoft Entra 系統管理員認證,以聯機到您的Microsoft Entra 租使用者。 它不會將認證儲存在本機伺服器上。 不過,它會保留用來連線到本機 Windows 密碼保存庫中 內部部署的 Active Directory 網域的認證。

如何? 將布建代理程式設定為使用 Proxy 伺服器進行輸出 HTTP 通訊?

布建代理程式支援使用輸出 Proxy。 您可以編輯代理程式配置檔 C:\Program Files\Microsoft Azure AD Connect 布建代理程式\AADConnectProvisioningAgent.exe.config 來設定它。將下列幾行新增至檔案的結尾,就在結尾 </configuration> 標記之前。 將變數 [proxy-server] 和 [proxy-port] 取代為您的 Proxy 伺服器名稱和埠值。

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

如何? 確定布建代理程式能夠與 Microsoft Entra 租用戶通訊,而且代理程式不需要任何防火牆?

您也可以檢查所有必要的 是否開啟。

是否可以將一個布建代理程式設定為布建多個 AD 網域?

是,只要代理程式有個別域控制器的視線,就可以設定一個布建代理程式來處理多個 AD 網域。 Microsoft建議設定一組為相同 AD 網域提供服務的 3 個布建代理程式,以確保高可用性並提供故障轉移支援。

如何? 取消註冊與我的布建代理程式相關聯的網域?

*,取得 您Microsoft Entra 租使用者的租用戶標識碼

  • 登入執行布建代理程式的 Windows 伺服器。

  • 以 Windows 系統管理員身分開啟 PowerShell。

  • 變更為包含註冊腳本的目錄,然後執行下列命令,以租使用者標識碼的值取代 [tenant ID] 參數。

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
    Get-PublishedResources -TenantId "[tenant ID]"
    
  • 從出現的代理程式清單中 – 從 resourceName 等於 AD 功能變數名稱的資源複製域值id

  • 將標識碼值貼入此命令,並在PowerShell中執行命令。

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
    
  • 重新執行代理程式設定精靈。

  • 先前指派給此網域的任何其他代理程式都必須重新設定。

如何? 卸載布建代理程式嗎?

  • 登入安裝布建代理程式的 Windows 伺服器。
  • 移至 [控制台 -> 卸載或變更程式功能表
  • 卸載下列程式:
    • Microsoft Entra Connect 佈建代理程式
    • Microsoft Entra Connect 代理程式更新程式
    • Microsoft Entra Connect 佈建代理程式套件

Workday 至 AD 屬性對應和設定問題

如何? 備份或匯出 Workday 布建屬性對應和架構的工作複本?

您可以使用 Microsoft Graph API 匯出 Workday 使用者布建設定。 如需詳細資訊,請參閱匯出和匯入 Workday 使用者布建屬性對應設定一節中的步驟。

我在 Workday 和 Active Directory 中有自定義屬性。 如何? 設定解決方案以使用我的自定義屬性?

此解決方案支援自定義 Workday 和 Active Directory 屬性。 若要將自定義屬性新增至對應架構,請開啟 [屬性對應] 刀鋒視窗,向下捲動以展開 [顯示進階選項] 區段

編輯屬性清單的螢幕快照。

若要新增自定義 Workday 屬性,請選取 [編輯 Workday 的屬性清單] 選項,然後新增自定義 AD 屬性,選取 [編輯內部部署 Active Directory 的屬性清單] 選項

另請參閱:

如何? 將解決方案設定為僅根據 Workday 變更更新 AD 中的屬性,而不會建立任何新的 AD 帳戶?

您可以在 [屬性對應] 刀鋒視窗中設定 [目標物件動作] 來達成此設定,如下所示:

更新動作的螢幕快照。

選取 [更新] 複選框,僅針對從 Workday 流向 AD 的更新作業。

我可以將使用者的照片從 Workday 布建到 Active Directory 嗎?

解決方案目前不支援在 Active Directory 中設定 thumbnailPhotojpegPhoto二進位屬性。

  • 移至 Workday 布建應用程式的 [布建] 刀鋒視窗。

  • 點選單擊 [屬性對應]

  • 在 [對應] 底下,選取 [將 Workday 背景工作角色同步處理至內部部署 Active Directory] (或 [將 Workday 背景工作角色同步至 Microsoft Entra ID]。

  • 在 [屬性對應] 頁面上,向下卷動並核取 [顯示進階選項] 方塊。 按下 Workday 的 [ 編輯屬性清單]

  • 在開啟的刀鋒視窗中,找出 「Mobile」 屬性,然後按兩下資料列,以便編輯 API 運算式行動GDPR的螢幕快照。

  • 將 API 運算式取代為下列新運算式,只有在 Workday 中的 「公用使用旗標」設定為 「True」 時,才會擷取工作移動編號。

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
    
  • 儲存屬性清單。

  • 儲存屬性對應。

  • 清除目前狀態,然後重新啟動完整同步處理。

如何? 格式會根據使用者的部門/國家/城市屬性在AD中顯示名稱,並處理區域差異?

這是在 AD 中設定 displayName 屬性的常見需求,因此也會提供使用者部門和國家/地區的相關信息。 例如,如果 John Smith 在美國行銷部門工作,您可能會希望他的 displayName 顯示為 Smith、John(Marketing-US)。

以下說明如何處理建構 CNdisplayName 這類需求,以包含公司、業務單位、城市或國家 /地區等屬性。

  • 每個 Workday 屬性都是使用基礎 XPATH API 運算式來擷取,可在 Workday 的屬性對應 -> 進階區段 -> 編輯屬性清單中設定。 以下是 Workday PreferredFirstName、PreferredLastNameCompanySupervisoryOrganization 属性的預設 XPATH API 表達式。

    Workday 屬性 API XPATH 運算式
    PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    公司 wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    SupervisoryOrganization wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    請向 Workday 小組確認上述 API 運算式對 Workday 租用戶設定有效。 如有必要,您可以編輯它們,如自定義 Workday 使用者屬性清單一節所述。

  • 同樣地,使用下列 XPATH 擷取 Workday 中的國家/地區資訊: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

    Workday 屬性清單一節中有 5 個國家/地區相關屬性可供使用。

    Workday 屬性 API XPATH 運算式
    CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    向 Workday 小組確認上述 API 運算式對 Workday 租用戶設定有效。 如有必要,您可以編輯它們,如自定義 Workday 使用者屬性清單一節所述。

  • 若要建置正確的屬性對應表達式,請識別哪些 Workday 屬性「授權」代表使用者的名字、姓氏、國家/地區和部門。 假設屬性分別是 PreferredFirstName、PreferredLastNameCountryReferenceTwoLetterSupervisoryOrganization 您可以使用這個來建置AD displayName屬性的運算式,如下所示,以取得類似 Smith、John(Marketing-US)的顯示名稱。

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
    

    擁有正確的表達式之後,請編輯 [屬性對應] 數據表並修改 displayName 屬性對應,如下所示:DisplayName 對應的螢幕快照。

  • 擴充上述範例,假設您想要將來自 Workday 的城市名稱轉換成速記值,然後使用它來建置顯示名稱,例如 Smith、John (CHI)Doe、Jane (NYC),然後使用 Switch 表達式搭配 Workday Cityy 屬性作為決定性變數來達成此結果。

    Switch
    (
      [Municipality],
      Join(", ", [PreferredLastName], [PreferredFirstName]),  
           "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
           "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
           "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
    )
    

    另請參閱:

如何使用 SelectUniqueValue 來產生 samAccountName 屬性的唯一值?

假設您想要使用 Workday 中的 FirstName 和 LastName 屬性組合,為 samAccountName 屬性產生唯一值。 以下提供一個表示式,您可以從下列項目開始:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

上述表達式的運作方式:如果使用者是John Smith,它會先嘗試產生 JSmith,如果 JSmith 已經存在,則會產生JoSmith,如果存在,則會產生JohSmith。 表達式也可確保產生的值符合與 samAccountName 相關聯的長度限制和特殊字元限制。

另請參閱:

如何? 移除具有讀音符號的字元,並將其轉換成一般英文字母?

使用 Function NormalizeDiacritics 來移除使用者名字和姓氏中的特殊字元,同時建構使用者的電子郵件位址或 CN 值。

疑難排解秘訣

本節提供如何使用 Microsoft Entra 布建記錄和 Windows Server 事件檢視器 記錄,針對 Workday 整合的布建問題進行疑難解答的特定指引。 它會以教學課程:報告自動用戶帳戶布建中 擷取的一般疑難解答步驟和概念為基礎

本節涵蓋疑難解答的下列層面:

設定布建代理程式以發出 事件檢視器 記錄

  1. 登入部署布建代理程式的 Windows Server 電腦

  2. 停止服務 Microsoft Entra Connect 布建代理程式

  3. 建立原始組態檔的複本: C:\Program Files\Microsoft Azure AD Connect 布建代理程式\AADConnectProvisioningAgent.exe.config

  4. 以下列內容取代現有的 <system.diagnostics> 區段。

    • 接聽程式設定 etw 會將訊息發出至 EventViewer 記錄
    • 接聽程式設定 textWriterListener 會將追蹤訊息傳送至檔案 ProvAgentTrace.log。 僅針對進階疑難解答取消批注與 textWriterListener 相關的行。
      <system.diagnostics>
          <sources>
          <source name="AAD Connect Provisioning Agent">
              <listeners>
              <add name="console"/>
              <add name="etw"/>
              <!-- <add name="textWriterListener"/> -->
              </listeners>
          </source>
          </sources>
          <sharedListeners>
          <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
          <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
              <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
          </add>
          <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
          </sharedListeners>
      </system.diagnostics>
    
    
  5. 啟動服務 Microsoft Entra Connect 布建代理程式

設定 Windows 事件檢視器以進行代理程式疑難排解

  1. 登入部署布建代理程式的 Windows Server 電腦

  2. 開啟 Windows Server 事件檢視器 傳統型應用程式。

  3. 選取 [Windows 記錄 > 應用程式]。

  4. 使用 [ 篩選目前記錄檔... ] 選項,藉由指定篩選 “-5” 來檢視來源 Microsoft Entra Connect 布建代理程式 下記錄的所有事件,並排除事件標識符為 “5” 的事件,如下所示。

    注意

    事件標識碼 5 會將代理程式啟動程式訊息擷取至 Microsoft Entra 雲端服務,因此我們會在分析記錄檔時加以篩選。

    Windows 事件檢視器 的螢幕快照。

  5. 按兩下 [ 確定 ],然後依 [日期和時間 ] 資料行排序結果檢視。

設定 Microsoft Entra 系統管理中心佈建記錄以進行服務疑難排解

  1. 啟動 Microsoft Entra 系統管理中心,並流覽至 Workday 布建應用程式的 [布建] 區段。

  2. 使用 [布建記錄] 頁面上的 [ 數據 行] 按鈕,在檢視中只顯示下列數據行(日期、活動、狀態、狀態原因)。 此設定可確保您只專注於與疑難解答相關的數據。

    布建記錄數據行的螢幕快照。

  3. 使用 [目標和日期範圍] 查詢參數來篩選檢視。

    • [目標 查詢] 參數設定為 Workday 背景工作物件的 “Worker ID” 或 “Employee ID”。
    • [日期範圍 ] 設定為您想要調查布建錯誤或問題的適當時段。

    布建記錄篩選的螢幕快照。

了解 AD 使用者帳戶建立作業的記錄

偵測到 Workday 中的新進員工時(假設員工標識符 為 21023),Microsoft Entra 布建服務會嘗試為背景工作建立新的 AD 用戶帳戶,並在程式中建立 4 個布建記錄檔記錄,如下所述:

布建記錄建立作業的螢幕快照。

當您按兩下任何布建記錄檔記錄時,[ 活動詳細 資料] 頁面隨即開啟。 以下是每個記錄記錄類型的 [活動詳細數據] 頁面顯示的內容

  • Workday 匯 入記錄:此記錄檔記錄會顯示從 Workday 擷取的背景工作資訊。 使用記錄記錄的 [ 其他詳細數據 ] 區段中的資訊,針對從 Workday 擷取數據的問題進行疑難解答。 下面顯示範例記錄,以及如何解譯每個欄位的指標。

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
    
  • AD 匯 入記錄:此記錄檔記錄會顯示從 AD 擷取的帳戶資訊。 如同在初始使用者建立期間沒有 AD 帳戶, 活動狀態原因 指出 Active Directory 中找不到任何具有相符標識元屬性值的帳戶。 使用記錄記錄的 [ 其他詳細數據 ] 區段中的資訊,針對從 Workday 擷取數據的問題進行疑難解答。 下面顯示範例記錄,以及如何解譯每個欄位的指標。

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    

    若要尋找對應至此 AD 匯入作業的布建代理程序記錄,請開啟 Windows 事件檢視器 記錄,並使用 [尋找...] 功能表選項來尋找包含相符標識碼/聯結屬性值的記錄專案(在此案例中為 21023)。

    [尋找] 的螢幕快照。

    尋找事件 標識碼 = 9 的專案,其提供代理程式用來擷取 AD 帳戶的 LDAP 搜尋篩選器。 您可以確認這是正確的搜尋篩選條件,以擷取唯一的用戶專案。

    LDAP 搜尋的螢幕快照。

    緊接在事件 標識碼 = 2 之後的記錄會擷取搜尋作業的結果,如果傳回任何結果,則為 。

    LDAP 結果的螢幕快照。

  • 同步處理規則動作 記錄:此記錄檔記錄會顯示屬性對應規則的結果,並設定範圍篩選條件,以及處理傳入 Workday 事件的布建動作。 使用記錄檔記錄的 [ 其他詳細數據 ] 區段中的資訊,針對同步處理動作的問題進行疑難解答。 下面顯示範例記錄,以及如何解譯每個欄位的指標。

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
    EventName : EntrySynchronizationAdd // Implies that the object is added
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    

    如果您的屬性對應表示式或傳入的 Workday 資料有問題(例如:必要屬性的空白或 Null 值),您將會在此階段觀察失敗,並顯示 ErrorCode 提供失敗的詳細數據。

  • AD 匯出 記錄:此記錄檔記錄會顯示AD帳戶建立作業的結果,以及程式中設定的屬性值。 使用記錄檔記錄的 [其他詳細數據 ] 區段中的資訊,針對帳戶建立作業的問題進行疑難解答。 下面顯示範例記錄,以及如何解譯每個欄位的指標。 在 [其他詳細數據] 區段中,“EventName” 設定為 “EntryExportAdd”,“JoiningProperty” 會設定為相符標識符屬性的值,“SourceAnchor” 會設定為與記錄相關聯的 WorkdayID (WID),而 “TargetAnchor” 會設定為新建立使用者的 AD “ObjectGuid” 屬性值。

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
    EventName : EntryExportAdd // Implies that object is created
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
    

    若要尋找對應至此 AD 匯出作業的布建代理程序記錄,請開啟 Windows 事件檢視器 記錄,並使用 [尋找...] 功能表選項來尋找包含相符標識碼/聯結屬性值的記錄專案(在此案例中為 21023)。

    使用事件識別碼 = 2 尋找對應至匯出作業時間戳的 HTTP POST 記錄。 此記錄包含布建服務傳送給布建代理程式的屬性值。

    顯示 [布建代理程式] 記錄中 [HTTP POST] 記錄的螢幕快照。

    在上述事件之後,應該有另一個事件擷取建立AD帳戶作業的回應。 這個事件會傳回在AD中建立的新 objectGuid,並將其設定為布建服務中的 TargetAnchor 屬性。

    顯示 [布建代理程式] 記錄的螢幕快照,其中已醒目提示 AD 中建立 objectGuid。

瞭解管理員更新作業的記錄

管理員屬性是 AD 中的參考屬性。 布建服務不會將管理員屬性設定為使用者建立作業的一部分。 相反地,管理員屬性會在為使用者建立AD帳戶之後,設定為更新作業的一部分。 展開上述範例,假設員工標識碼為 「21451」 的新進員工已在 Workday 中啟動,而新進員工經理 (21023) 已經有 AD 帳戶。 在此案例中,搜尋使用者 21451 的布建記錄會顯示 5 個專案。

管理員更新的螢幕快照。

前 4 筆記錄就像我們在使用者建立作業中探索的記錄一樣。 第 5 筆記錄是與管理員屬性更新相關聯的匯出。 記錄檔記錄會顯示 AD 帳戶管理員更新作業的結果,這是使用管理員的 objectGuid 屬性執行。

// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

解決常見的錯誤

本節涵蓋 Workday 使用者布建的常見錯誤,以及如何加以解決。 錯誤會依下列方式分組:

布建代理程序錯誤

# 錯誤案例 可能的原因 建議的解決方案
1. 安裝布建代理程式時發生錯誤,並出現錯誤訊息: 服務 『Microsoft Entra Connect 布建代理程式』(AADConnectProvisioningAgent) 無法啟動。確認您有足夠的許可權可啟動系統。 如果您嘗試在域控制器上安裝布建代理程式,且組策略會防止服務啟動,通常會顯示此錯誤。 如果您執行的是舊版的代理程式,而且在開始新安裝之前尚未卸載,也會看到它。 在非 DC 伺服器上安裝布建代理程式。 在安裝新代理程式之前,請確定已卸載舊版代理程式。
2. Windows 服務 「Microsoft Entra Connect 布建代理程式」處於 啟動 狀態,且不會切換至 [執行中 ] 狀態。 在安裝期間,代理程式精靈會在伺服器上建立本機帳戶(NT Service\AADConnectProvisioningAgent),這是用來啟動服務的登入帳戶。 如果 Windows 伺服器上的安全策略會防止本機帳戶執行服務,您將會遇到此錯誤。 開啟 [服務] 主控台。 以滑鼠右鍵按下 Windows 服務 'Microsoft Entra Connect 布建代理程式',然後在登入索引卷標中指定要執行服務的網域系統管理員帳戶。 重新啟動 服務。
3. 在步驟 Connect Active Directory 中使用 AD 網域設定布建代理程式時,精靈會花很長的時間嘗試載入 AD 架構,最後逾時。 如果精靈因防火牆問題而無法連絡 AD 域控制器伺服器,通常就會顯示此錯誤。 在 [ 連線 Active Directory 精靈] 畫面上,提供 AD 網域的認證時,有一個選項稱為 [選取域控制器優先順序]。 使用此選項可選取與代理程式伺服器位於相同站臺中的域控制器,並確定沒有封鎖通訊的防火牆規則。

連線錯誤

如果布建服務無法連線到 Workday 或 Active Directory,可能會導致布建進入隔離狀態。 使用下表來針對連線問題進行疑難解答。

# 錯誤案例 可能的原因 建議的解決方案
1. 當您按兩下 [ 測試連線] 時,會收到錯誤訊息: 連線到Active Directory 時發生錯誤。請確定內部部署布建代理程式正在執行,且其已設定正確的 Active Directory 網域。 如果布建代理程式未執行,或Microsoft Entra ID 與布建代理程式之間有防火牆封鎖通訊,通常會顯示此錯誤。 如果代理程式精靈中未設定網域,您可能也會看到此錯誤。 在 Windows 伺服器上開啟 Services 控制台,以確認代理程式正在執行。 開啟布建代理程式精靈,並確認已向代理程式註冊正確的網域。
2. 布建作業在週末(Fri-Sat)進入隔離狀態,我們會收到電子郵件通知,指出同步處理發生錯誤。 此錯誤的其中一個常見原因是計劃性 Workday 停機。 如果您使用 Workday 實作租使用者,請注意 Workday 已排定週末實作租使用者的停機時間(通常是從星期五晚上到星期六早上),在此期間 Workday 布建應用程式可能會進入隔離狀態,因為它無法連線到 Workday。 一旦 Workday 實作租用戶恢復上線,它就會回到正常狀態。 在罕見的情況下,如果「整合系統使用者」的密碼因租用戶重新整理而發生變更,或帳戶處於鎖定或過期狀態,您也可能看到此錯誤。 請洽詢您的 Workday 系統管理員或整合合作夥伴,以了解 Workday 排定於何時停機,以在停機期間忽略警示訊息,並在 Workday 執行個體恢復上線後確認可用性。

AD 用戶帳戶建立錯誤

# 錯誤案例 可能的原因 建議的解決方案
1. 在布建記錄檔中匯出作業失敗,並出現錯誤訊息 :OperationsError-SvcErr:發生作業錯誤。尚未針對目錄服務設定任何進階參考。因此,目錄服務無法向這個樹系外部的對象發出轉介。 如果 Active Directory 容器 OU 未正確設定,或父代 DistinguishedName 使用的運算式對應發生問題,通常會顯示此錯誤。 檢查 Active Directory 容器 OU 參數是否有錯字。 如果您在 屬性對應中使用 parentDistinguishedName ,請確定它一律評估為 AD 網域內的已知容器。 請檢查布建記錄中的 Export 事件,以查看產生的值。
2. 在布建記錄檔中匯出作業失敗,錯誤碼為: SystemForCrossDomainIdentityManagementBadResponse 和訊息 錯誤:ConstraintViolation-AtrErr:要求中的值無效。屬性的值不在可接受的值範圍內。\nError 詳細數據:CONSTRAINT_ATT_TYPE - 公司 雖然此錯誤專屬於 公司 屬性,但您可能會看到此錯誤的其他屬性,例如 CN 。 此錯誤會因為AD強制執行的架構條件約束而出現。 根據預設,AD中的 companyCN屬性的上限為 64 個字元。 如果來自 Workday 的值超過 64 個字元,您會看到此錯誤訊息。 檢查布建記錄中的 Export 事件,以查看錯誤訊息中所報告屬性的值。 請考慮使用 Mid 函式截斷來自 Workday 的值,或將對應變更為沒有類似長度條件約束的 AD 屬性。

AD 使用者帳戶更新錯誤

在 AD 使用者帳戶更新程式期間,布建服務會從 Workday 和 AD 讀取資訊、執行屬性對應規則,並判斷是否有任何變更需要生效。 因此會觸發更新事件。 如果上述任何步驟發生失敗,則會記錄在布建記錄中。 使用下表針對常見的更新錯誤進行疑難解答。

# 錯誤案例 可能的原因 建議的解決方案
1. 布建記錄中的同步處理規則動作失敗,訊息 EventName = EntrySynchronizationError 和 ErrorCode = EndpointUnavailable 如果布建服務因內部部署布建代理程式所發生的處理錯誤而無法從 Active Directory 擷取使用者配置檔數據,就會顯示此錯誤。 檢查布建代理程式 事件檢視器 記錄,以取得指出讀取作業問題的錯誤事件(依事件標識元篩選 #2)。
2. AD 中的管理員屬性不會針對AD中的特定使用者更新。 此錯誤最有可能的原因是您使用範圍規則,而使用者的管理員不屬於範圍。 如果在目標 AD 網域中找不到管理員的相符標識符屬性(例如 EmployeeID),或未設定為正確的值,您也可能遇到此問題。 檢閱範圍篩選,並在範圍中新增管理員使用者。 檢查 AD 中的管理員設定檔,以確定有相符標識碼屬性的值。

管理您的設定

本節說明如何進一步擴充、自定義和管理 Workday 驅動使用者布建設定。 本文涵蓋下列主題:

自定義 Workday 使用者屬性清單

Active Directory 和 Microsoft Entra 識別碼的 Workday 布建應用程式都包含您可以選取的預設 Workday 使用者屬性清單。 不過,這些清單並不全面。 Workday 支援數百個可能的使用者屬性,這些屬性可以是標準或 Workday 租使用者的唯一屬性。

Microsoft Entra 布建服務支援自定義清單或 Workday 屬性,以包含人力資源 API Get_Workers作業中公開的任何屬性。

若要進行這項變更,您必須使用 Workday Studio 來擷取 XPath 表達式,這些表達式代表您想要使用的屬性,然後使用進階屬性編輯器將它們新增至布建組態。

若要擷取 Workday 使用者屬性的 XPath 運算式:

  1. 下載並安裝 Workday Studio。 您需要 Workday 社群帳戶才能存取安裝程式。

  2. 從 Workday Web Services 目錄下載您計劃從 Workday Web Services 目錄使用之 WWS API 版本專屬的 Workday Human_Resources WSDL 檔案

  3. 啟動 Workday Studio。

  4. 從命令行中,選取 [測試人員中的 Workday > Test Web 服務] 選項。

  5. 選取 [ 外部],然後選取您在步驟 2 中下載Human_Resources WSDL 檔案。

    顯示 Workday Studio 中開啟 「Human_Resources」檔案的螢幕快照。

  6. 將 [ 位置] 欄位設定為 https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources,但將 「IMPL-CC」 取代為您的實際實例類型,並將 「TENANT」 取代為您的實際租用戶名稱。

  7. 將作業設定Get_Workers

  8. 按兩下 [要求/回應] 窗格下方的小型設定連結,以設定您的 Workday 認證。 檢查 [驗證],然後輸入 Workday 整合系統帳戶的使用者名稱和密碼。 請務必將用戶名稱格式化為name@tenant,並讓 WS-Security UsernameToken 選項保持選取狀態。 此螢幕快照顯示已輸入 [用戶名稱] 和 [密碼] 的 [安全性] 索引標籤,並已選取 [WS-Security Username Token]。

  9. 選取 [確定]。

  10. 在 [ 要求 ] 窗格中,貼上下列 XML。 將Employee_ID設定為 Workday 租用戶中實際使用者的員工標識碼。 將 wd:version 設定為您計劃使用的 WWS 版本。 選取已填入您想要擷取之屬性的使用者。

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    
  11. 按兩下 [ 傳送要求 ] (綠色箭號) 以執行命令。 如果成功,回應應該會出現在 [ 回應 ] 窗格中。 檢查回應,以確保其具有您輸入的使用者標識碼數據,而不是錯誤。

  12. 如果成功,請從 [回應 ] 窗格複製 XML,並將其儲存為 XML 檔案。

  13. 在 Workday Studio 的命令行中,選取 [ 檔案 > 開啟檔案... ],然後開啟您儲存的 XML 檔案。 此動作會在 Workday Studio XML 編輯器中開啟檔案。

    [Workday Studio X M L 編輯器] 中開啟 X M L 檔案的螢幕快照。

  14. 在檔案樹狀目錄中,流覽 /env: Envelope > env: Body > wd:Get_Workers_Response wd:Response_Data > > wd: Worker 以尋找用戶的數據。

  15. 在 wd: Worker 底下,尋找您想要新增的屬性,然後加以選取。

  16. 從 [檔案路徑] 欄位複製所選屬性的 XPath 運算式。

  17. 從複製的表達式中移除 /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ 前置詞。

  18. 如果複製表達式中的最後一個專案是節點(例如:“/wd: Birth_Date”),則在表達式結尾附加 /text()。 如果最後一個專案是屬性,則不需要此專案(例如:“/@wd:type”。

  19. 結果應該類似 wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()。 此值是您複製並輸入至 Microsoft Entra 系統管理中心的內容。

若要將自定義 Workday 使用者屬性新增至布建組態:

  1. 啟動 Microsoft Entra 系統管理中心,並流覽至 Workday 布建應用程式的佈建區段,如本教學課程稍早所述。

  2. 將 [布建狀態] 設定為 [關閉],然後選取 [儲存]。 此步驟有助於確保您的變更只有在準備好時才會生效。

  3. 在 [對應] 底下,選取 [將 Workday 背景工作角色同步處理至內部部署 Active Directory] (或 [將 Workday 背景工作角色同步至 Microsoft Entra ID]。

  4. 捲動至下一個畫面底部,然後選取 [ 顯示進階選項]。

  5. 選取 [編輯 Workday 的屬性清單]。

    顯示 [Workday 至 Microsoft Entra 使用者布建 - 布建] 頁面的螢幕快照,其中已醒目提示 [Workday 的編輯屬性清單] 動作。

  6. 捲動至屬性清單底部的輸入欄位。

  7. 針對 [ 名稱],輸入屬性的顯示名稱。

  8. 針對 [ 類型],選取適當對應至您屬性的類型(字串最 常見)。

  9. 針對 [API 表達式],輸入您從 Workday Studio 複製的 XPath 表達式。 範例: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. 選取 [ 新增屬性]。

    Workday Studio 的螢幕快照。

  11. 選取上述的 [ 儲存 ],然後選取 [是 ] 對話框。 如果仍然開啟,請關閉 [屬性對應] 畫面。

  12. 回到主要 [布建] 索引 卷標上,再次選取 [將 Workday 背景工作角色同步處理至內部部署 Active Directory ](或 [將背景工作角色同步至Microsoft專案標識符]。

  13. 選取 [ 新增對應]。

  14. 您的新屬性現在應該會出現在 [來源屬性 ] 清單中。

  15. 視需要新增新屬性的對應。

  16. 完成後,請記得將 [布建狀態] 設定回 [開啟] 並儲存。

匯出和匯入組態

請參閱匯出和匯入布建組態一文

管理個人資料

Active Directory 的 Workday 布建解決方案需要將布建代理程式安裝在內部部署 Windows 伺服器上,而此代理程式會在 Windows 事件記錄檔中建立記錄,視您的 Workday 到 AD 屬性對應而定,這些記錄檔可能包含個人資料。 若要遵守使用者隱私權義務,您可以藉由設定 Windows 排程工作來清除事件記錄檔,確保事件記錄檔中不會保留任何數據超過 48 小時。

Microsoft Entra 布建服務屬於 GDPR 分類的數據處理器 類別。 作為資料處理器管線,服務會對重要合作夥伴和終端取用者提供資料處理服務。 Microsoft Entra 布建服務不會產生用戶數據,而且對收集的數據及其使用方式沒有獨立控制權。 Microsoft Entra 布建服務中的數據擷取、匯總、分析和報告是以現有的企業數據為基礎。

注意

如需檢視或刪除個人資料的詳細資訊,請檢閱 GDPR 的 Windows 資料主體要求網站上的 Microsoft 指導。 如需 GDPR 的一般資訊,請參閱 Microsoft 信任中心的 GDPR 區段服務信任入口網站的 GDPR 區段

對於數據保留,Microsoft Entra 布建服務不會產生報告、執行分析或提供超過 30 天的深入解析。 因此,Microsoft Entra 布建服務不會儲存、處理或保留超過 30 天的任何數據。 這項設計符合 GDPR 法規、Microsoft 隱私權合規性規定和 Microsoft Entra 資料保留原則。

下一步