使用生命週期工作流程管理已同步內部部署使用者
生命週期工作流程支援治理從內部部署 Active Directory Domain Services (AD-DS) 同步處理至 Microsoft Entra 的使用者帳戶身分識別生命週期。 針對生命週期工作流程,使用者帳戶必須存在於 Microsoft Entra 中,但是帳戶的建立方式、或對帳戶的生命週期相關變更進行方式,在處理使用者帳戶的工作流程和相關聯工作時,則是扮演次要角色。 支援包括透過 HR 驅動佈建、Microsoft Graph API、Microsoft Entra 系統管理入口網站,以及由 Microsoft Entra Connect 和 MicrosoftCloud Sync 同步處理的變更等路徑所進行的帳戶和變更。
在本文中,您會了解如果您想要針對從內部部署 Active Directory Domain Services (AD-DS) 同步處理至 Microsoft Entra 的使用者帳戶 (稱為「已同步的內部部署使用者」) 使用生命週期工作流程,所需考量的事項。
已同步內部部署使用者的工作流程執行條件
符合工作流程執行條件時,會針對使用者帳戶處理生命週期工作流程。 執行條件包含觸發程序和範圍。 觸發程序描述使用者帳戶所發生的事件。 範圍可讓您進一步定義在事件發生時啟動工作流程的對象。
工作流程觸發程序
下表顯示與已同步內部部署使用者搭配使用時,每個工作流程觸發程序的考量事項:
| 工作流程觸發程序 | 需求 |
|---|---|
| 屬性變更 (預覽) | 只要同步處理屬性,就不需要進一步設定。 如需同步處理屬性的詳細資訊,請參閱:Microsoft Entra Cloud Sync 中的屬性對應和 Microsoft Entra Connect Sync :目錄延伸模組。 在內部部署 Active Directory 中進行變更時,必須先透過 Microsoft Entra Cloud Sync 或 Microsoft Entra Connect Sync 進行同步處理,才能從生命週期工作流程中挑選變更。 |
| 以群組成員資格為基礎 (預覽) | 支援任何類型的群組時,不需要進一步的設定。 如果群組源自內部部署 Active Directory,則必須將其同步處理至 Microsoft Entra。 必須先進行 Microsoft Entra Cloud Sync 或 Microsoft Entra Connect Sync 同步處理,才能從生命週期工作流程中挑選變更。 |
| 依需求 | 不需要進一步的設定。 |
| 以時間為基礎 | employeeHireDate、employeeLeaveDateTime:使用這些屬性之前,必須先同步處理這些屬性。 如需關於此程序的詳細資訊,請參閱如何同步處理生命週期工作流程的屬性。 createdDateTime:不需要進一步的需求。 此日期是使用者帳戶同步至 Microsoft Entra ID 的日期,而不是在 Active Directory 內建立的時間。 |
工作流程範圍
對於工作流程範圍功能內使用的使用者屬性,如果選取的屬性已進行同步處理,就不需要進一步設定。 如需關於同步處理屬性的詳細資訊,請參閱:Microsoft Entra Cloud Sync 中的屬性對應和 Microsoft Entra Connect Sync :目錄延伸模組。 在內部部署 Active Directory 中進行變更時,必須先透過 Microsoft Entra Cloud Sync 或 Microsoft Entra Connect Sync 進行同步處理,才能從生命週期工作流程中挑選變更。
工作流程工作和已同步內部部署功能
所有生命週期工作流程工作都適用於雲端和已同步內部部署,使用者現成可用,但本文中所列特定工作的限制除外。 如需關於所有生命週期工作流程工作的詳細資訊,請參閱生命週期工作流程內建工作。
治理群組成員資格的工作
治理群組成員資格的生命週期工作流程工作無法用於從內部部署 Active Directory 同步處理至 Microsoft Entra 的群組。 不過,Microsoft Entra ID 控管可用來治理內部部署 Active Directory (Kerberos) 應用程式存取與雲端中的群組,這些群組在生命週期工作流程中受到支援。
使用者帳戶工作 (預覽)
生命週期工作流程工作需要額外的設定,才能啟用、停用及刪除使用者帳戶,以使用已同步內部部署使用者。 您必須先完成下列必要條件才能設定工作,以在內部部署 Active Directory 中執行動作。
- 您必須在環境中安裝 Microsoft Entra 佈建代理程式。 如需安裝 Microsoft Entra 佈建代理程式的必要條件,請參閱:雲端佈建代理程式需求。 如需安裝 Microsoft Entra 佈建代理程式的逐步指南,請參閱:安裝 Microsoft Entra 佈建代理程式。 在安裝期間,選擇「HR 驅動佈建 / Microsoft Entra Connect Sync」做為「延伸項目設定」。 您不必為佈建代理程式新增任何其他設定,例如雲端同步設定,即使您目前針對使用者同步處理也是使用 Microsoft Entra Connect Sync,仍可安裝佈建代理程式。
注意
安裝佈建代理程式至少必須是 2024 年 5 月 13 日發行的 1.1.1586.0 版。
請確定佈建代理程式所使用的群組受管理服務帳戶 (gMSA) 具有適當的權限,可對使用者帳戶執行作業。
若要刪除使用者帳戶,您必須啟用 Active Directory 資源回收筒。 如需啟用資源回收筒的逐步指南,請參閱:Active Directory 資源回收筒逐步指南。
如需設定標幟的逐步指南,讓使用者帳戶工作針對已同步內部部署使用者執行,請參閱:使用工作流程管理已同步內部部署使用者 (預覽版)。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應