Microsoft Entra ID 管理框架的員工生命周期管理自動化部署指南

部署案例是有關如何結合及測試Microsoft安全性產品和服務的指引。 您可以探索功能如何共同運作，以改善生產力、加強安全性，以及更輕鬆地符合合規性和法規需求。

本指南中會出現下列產品和服務：

• Microsoft Entra 身分治理
• 生命週期工作流程
• Microsoft Entra
• Microsoft Entra 身份識別
• Microsoft Entra Connect
• Microsoft Entra 雲端同步
• Azure Logic 應用程式
• Microsoft Graph

使用此案例來協助判斷Microsoft Entra ID Governance 為貴組織建立和授與存取權的需求。 瞭解如何透過員工生命周期自動化，有效、安全且一致地配置使用者。

時間表

時間軸會顯示大約傳遞階段持續時間，並且以案例複雜度為基礎。 時間是估計，會根據環境而有所不同。

1. 人力資源配置 - 3 小時
2. 軟體即服務 （SaaS） 應用程式佈建 - 1 小時
3. 生命週期工作流程 - 3 小時

員工生命周期自動化

為了簡化員工身分識別管理，組織會採用現代化解決方案和自動化。 透過身分識別管理系統和技術，IT 人員可以克服有限的手動程式，並改為提高效率。

Microsoft Entra 身分識別管理

透過Microsoft Entra ID 治理解決方案，組織可提高生產力、加強安全性，並符合合規性和法規需求。 使用Microsoft Entra ID Governance 來確保正確的人員在正確的時間擁有正確資源的存取權。 深入瞭解 Microsoft Entra ID Governance 的使用案例和文件。

深入瞭解 Microsoft Entra ID。

人力資源驅動的配置

人力資源驅動的布建會根據人力資源（HR）系統來建立數位身分識別，成為權威來源。 這一階段是許多配置流程的起點。

在影片中深入了解如何使用Microsoft Entra 識別碼進行 HR 驅動的配置。

雲端 HR 至 Microsoft Entra 識別

使用者會在 Microsoft Entra ID 和其他支援使用者布建的 SaaS 應用程式中建立。 在雲端 HR 中更新員工記錄時，用戶帳戶會在 Microsoft Entra 識別碼和支援 SaaS 應用程式中更新。

將 Workday 配置至 Microsoft Entra ID

1. 選取雲端 HR 提供連接器應用程式。
2. 設計配置拓撲。
3. 在 Workday 中設定整合系統使用者。
4. 啟用 Workday 配置連接器。
5. 啟動 Workday 和 Microsoft Entra ID 屬性對應。
6. （選擇性） 在 Azure AD 中設定 Workday 回寫。
7. 啟用和啟動布建。

在影片中深入瞭解如何使用 Workday 進行 HR 驅動的使用者布建。

將 SuccessFactors 部署至 Microsoft Entra 識別碼

1. 選取雲端 HR 提供連接器應用程式。
2. 設計配置拓撲。
3. 在 SuccessFactors 中建立 API 用戶帳戶。
4. 在 SuccessFactors 中建立 API 許可權。
5. 新增 SuccessFactors 輸入連接器應用程式。
6. 設定 SuccessFactors 屬性映射。
7. （選擇性） 設定從 Entra ID 回寫至 SAP SuccessFactors 的屬性。
8. 啟用並執行配置。

了解更多有關 透過 SuccessFactors 進行 HR 驅動的使用者佈建 的影片內容。

雲端 HR 與 Active Directory 的整合

使用下列影片來了解以 API 驅動的本機 Active Directory 輸入佈建。

將 Workday 部署至 Active Directory

1. 選取雲端 HR 提供連接器應用程式。
2. 設計配置拓撲。
3. 在 Workday 中設定整合系統使用者。
4. 布建連接器應用程式和布建代理程式。
5. 安裝及設定內部部署代理程式。
6. 設定 Workday 和 Active Directory 的連線。
7. 設定屬性對應。
8. 啟用並開始使用者設定。

將 SuccessFactors 部署至 Active Directory

1. 選取雲端 HR 提供連接器應用程式。
2. 設計配置拓撲。
3. 在 Workday 中設定整合系統使用者。
4. SuccessFactors 輸入布建應用程式和代理程式。
5. 安裝內部部署代理程式。
6. 設定應用程式與 AD 的連線。
7. 設定屬性對應。
8. 啟用並開始使用者設定。

API 驅動的配置

Microsoft Entra ID 中的身分識別數據會與記錄系統中管理的員工數據保持同步：HR 應用程式、薪資應用程式、電子表格、內部部署資料庫或雲端中的 SQL 數據表。 透過應用程式開發介面 （API）驅動的入站布建，Microsoft Entra 布建服務支援與記錄系統的整合。

瞭解更多資訊：

• 常見問題：API 驅動的入站佈建
• 授予入站佈建 API 的存取權
• 學習使用 Graph Explorer 來測試布建 API

API 驅動設定情境

IT 團隊使用自動化匯入數據檔案。 獨立軟體供應商 （ISV） 與 Microsoft Entra ID 整合。 系統整合商建置與記錄系統串接的連接器。 此過程常用於如一般檔案、CSV 檔案、SQL 臨時表等來源。 整合自動化工具：PowerShell 腳本、Azure Logic Apps 和使用 HTTP 呼叫的工作流程。

設定 API 驅動佈建

您可以瞭解如何設定 以 API 驅動的入站布建。 

比較：匯入佈建 /bulkUpload API 和 Microsoft Graph 使用者 API

我們建議注意布建 /bulkUpload API 與 Microsoft Graph 使用者 API 端點之間的差異：承載格式、作業結果和 IT 系統管理員會保留控制權。

在常見問題中，瞭解 新的輸入布建 API 與圖形使用者 API 有何不同。

部署由 API 驅動的入站配置

1. 建立 API 驅動布建應用程式。
2. 針對 Active Directory， 設定 API 導向的輸入布建應用程式。 針對 Microsoft Entra ID，設定 API 驅動入站佈建應用程式。
3. 授與入站提供 API 的存取權
4. 自定義使用者布建屬性對應
5. 同步處理自定義屬性

若要深入瞭解，請參閱下列關於透過API的入站配置的快速入門指南：

• 捲曲
• 郵差
• 圖形瀏覽器
• PowerShell
• Azure Logic 應用程式

向外配置應用程式

您可以使用跨域身分識別管理系統（SCIM），將資源配置到軟體即服務（SaaS）應用程式。

深入瞭解 與 Microsoft Entra ID 進行 SCIM 同步。

使用 SCIM 端點進行布建設定

SCIM 2.0 是兩個端點 /Users 和 /Groups 的標準化定義。

請參閱教學指南，關於在 Microsoft Entra ID 中開發和規劃 SCIM 端點布建的詳細資訊。

佈署 SaaS 範例應用程式配置

Microsoft Entra ID 應用連結庫會顯示可供使用者布建的應用程式。 為您的環境選取最多四個應用程式，或從這些熱門應用程式中選擇，以啟用自動使用者布建：

• ServiceNow
• Salesforce
• 箱子
• 思科 Webex
• Facebook 的 Workplace
• 縮放

（選擇性）部署至內部部署應用程式

雲端中定義的使用者和架構支援從自定義架構延伸模組布建至應用程式特定屬性。

若要深入瞭解，請移至 已啟用SCIM的應用程式的應用程式佈建範例。

生命週期工作流程

生命週期工作流程是一個身分治理功能，可以透過自動化新進員工、調動員工和離職員工事件，來管理 Microsoft Entra 系統的使用者。 使用功能來排程事件之前、期間或之後的工作。 工作流程可以視需要執行。 使用內建工作，您可以產生暫時認證、傳送電子郵件、更新使用者屬性和成員資格，以及移除授權。

在 生命週期工作流程 API 概觀中深入瞭解。

加入者

加入者是需要存取權的個人。 當您將新員工上線時，請使用範本和工作流程，讓流程更有效率且更快速。

搬運工

Mover 是指在組織中跨部門移動的人，例如，員工會從銷售部門的角色轉到行銷部門的角色。 移動可能需要更多或不同的存取權和授權。

離去者

離職者不再需要存取權，例如已終止合約或退休的員工。 有效的 Leaver 工作流程可降低終止后未經授權的數據存取風險。 因此，請根據法規和原則處理 Leaver 個人資訊。 使用可自定義的工作流程範本，以便及時、可靠且順利地移除資源存取。

拿掉應用程式存取

Microsoft Entra ID 佈建服務會將來源與目標系統同步。在需要終止使用者存取時，解除佈建帳戶。

1. 移除使用者與一或多個應用程式的關聯。

2. 從 Microsoft Entra 識別碼中刪除帳戶。

3. 將 AccountEnabled 屬性設定為 False。

   備註

   如果應用程式支援該流程，則您可以根據預設虛刪除使用者。

生命週期工作流程自定義延伸模組

使用自定義擴充功能，使用 Azure Logic Apps 之類的工具來建立工作流程。 針對工作流程，您可以啟用自定義工作延伸模組來呼叫外部系統。 例如，具有自定義工作延伸模組的 Joiner 工作流程會指派Microsoft Teams 號碼。 或者，當使用者成為 Leaver 時，個別的工作流程會為其管理員授與電子郵件帳戶的存取權。 您可以學習如何根據自訂工作擴充功能來觸發 Logic Apps。

備註

若要建立以裝載邏輯應用程式的資源，請選取 用量。 消耗型邏輯應用程式有一個工作流程，可在多租戶 Azure Logic Apps 中執行。

若要深入瞭解，請參閱 App Service 環境概觀 和 Azure Logic Apps 檔。

部署生命週期工作流程

1. 同步屬性
2. 準備用戶帳戶
3. 將員工預先工作自動化
4. 自動化新員工入職流程
5. 自動化上線後
6. 即時員工變更
7. 即時解僱員工
8. 員工群組成員資格變更
9. 員工工作配置文件變更
10. 自動化離職前流程
11. 自動下線
12. 自動化離職後流程
13. 使用自定義擴充功能觸發Logic Apps

支援的工作和工作流程

表格會根據 Joiner、Mover、Leaver 狀態列出工作和工作流程。

類別	工作和工作流程
加入者	傳送歡迎電子郵件給新進員工
加入者	傳送上線提醒電子郵件
加入者	產生暫時存取通行證（TAP），並透過電子郵件傳送給新進員工經理
搬運工	傳送通知電子郵件給管理員關於用戶移動
加入者、移動者	要求指派使用者存取套件
Joiner、Mover、Leaver	將使用者新增至群組
Joiner、Mover、Leaver	將使用者新增至小組
加入者、離開者	啟用用戶帳戶
Joiner、Mover、Leaver	執行自訂工作延伸模組
離去者	停用用戶帳戶
Joiner、Mover、Leaver	從群組移除使用者
離去者	從所有群組移除使用者
離去者	從小組移除使用者
離去者	從所有小組移除使用者
離開者、移動者	拿掉使用者存取套件指派
離去者	拿掉所有使用者存取套件指派
離去者	取消所有擱置的使用者存取套件指派要求
離去者	拿掉所有使用者授權指派
離去者	刪除使用者
離去者	在前一天之前傳送電子郵件給用戶的經理
離去者	在最後一天傳送電子郵件給用戶的經理
離去者	在最後一天之後傳送電子郵件給用戶的經理

後續步驟

• Microsoft Entra ID 治理部署指南簡介
• 案例 1：員工生命周期自動化
• 案例 2：將員工的資源存取權指派給員工
• 案例 3：控管來賓和合作夥伴存取
• 案例 4：管控特權身份以及其存取