Gestione degli utenti sincronizzati da Dominio di Active Directory Services a Microsoft Entra ID con flussi di lavoro relativi al ciclo di vita
I flussi di lavoro del ciclo di vita supportano la governance del ciclo di vita delle identità per gli account utente sincronizzati da Dominio di Active Directory Services (AD DS) a Microsoft Entra ID. Per i flussi di lavoro relativi al ciclo di vita, è essenziale che esista un account utente nell'ID Microsoft Entra, ma come è stato creato l'account o come vengono apportate modifiche rilevanti del ciclo di vita all'account, svolge un ruolo secondario quando si tratta di elaborare flussi di lavoro e attività associate per l'account utente. Questo supporto include account e modifiche apportate tramite opzioni come il provisioning basato sulle risorse umane, le API Microsoft Graph, il portale di amministrazione di Microsoft Entra e le modifiche sincronizzate da Microsoft Entra Connect e Microsoft Cloud Sync.
Nella tabella seguente sono elencati gli scenari di automazione comuni per gli utenti sincronizzati da Active Directory Domain Services tramite Microsoft Entra ID Governance:
| Scenario per automatizzare | Soluzione di governance di Microsoft Entra ID |
|---|---|
| Creazione dell'account utente in Dominio di Active Directory Services | Provisioning basato sulle risorse umane |
| Specificare le credenziali iniziali o la password per gli account utente | L'attività Genera pass di accesso temporaneo e invia tramite posta elettronica al manager dell'utente può essere usata per configurare le credenziali senza password. Per configurare una normale password di Active Directory, è possibile usare la reimpostazione della password self-service di Microsoft Entra. |
| Assegnazione delle licenze | L'attività Assegna licenze al flusso di lavoro ciclo di vita dell'utente può essere usata per assegnare licenze. È anche possibile assegnare licenze agli utenti tramite un gruppo. |
| Concedere agli utenti l'accesso alle applicazioni basate su gruppi di Active Directory | Gestire l'accesso alle applicazioni Active Directory locale (Kerberos) |
| Aggiornare gli attributi utente in Active Directory man mano che spostano le organizzazioni | Pianificare i filtri di ambito e il mapping degli attributi |
| Spostare gli utenti in unità organizzative diverse man mano che spostano le organizzazioni | Configurare l'assegnazione del contenitore dell'unità organizzativa di Active Directory |
| Disabilitare gli utenti l'ultimo giorno | L'attività Disabilita flusso di lavoro ciclo di vita dell'account utente può essere usata per disabilitare un account utente l'ultimo giorno. |
| Eliminazione di utenti in un numero impostato di giorni dopo la chiusura | L'attività Elimina flusso di lavoro ciclo di vita utente può essere usata all'interno di un modello di flusso di lavoro per eliminare gli utenti un numero impostato di giorni dopo la chiusura. |
In questo articolo si apprenderà cosa deve essere considerato se si vogliono usare i flussi di lavoro del ciclo di vita per gli account utente sincronizzati da Active Directory Domain Services a Microsoft Entra ID.
Condizioni di esecuzione del flusso di lavoro con gli utenti sincronizzati da Dominio di Active Directory Services (AD DS) a Microsoft Entra ID
I flussi di lavoro del ciclo di vita vengono elaborati per gli account utente quando soddisfano le condizioni di esecuzione del flusso di lavoro. Le condizioni di esecuzione sono costituite da un trigger e un ambito. Il trigger descrive l'evento che si verifica per un account utente. L'ambito consente di definire ulteriormente per chi viene eseguito il flusso di lavoro quando si verifica l'evento.
Trigger del flusso di lavoro
La tabella seguente illustra cosa deve essere considerato per ogni trigger del flusso di lavoro quando viene usato con gli utenti sincronizzati da Active Directory Domain Services:
| Trigger flusso di lavoro | Requisiti |
|---|---|
| Modifiche degli attributi | Non sono necessarie altre configurazioni, purché gli attributi vengano sincronizzati. Per informazioni sugli attributi sincronizzati, vedere Mapping degli attributi in Microsoft Entra Cloud Sync e Microsoft Entra Connect Sync: estensioni della directory. Quando viene apportata una modifica in Active Directory, la sincronizzazione tramite Microsoft Entra Cloud Sync o Microsoft Entra Connect Sync deve verificarsi prima che le modifiche possano essere prelevate dai flussi di lavoro del ciclo di vita. |
| Basata sull'appartenenza a gruppi | Poiché è supportato qualsiasi tipo di gruppo, non sono necessarie altre configurazioni. Se il gruppo ha origine da Active Directory, deve essere sincronizzato con Microsoft Entra. Microsoft Entra Cloud Sync o Microsoft Entra Connect Sync devono essere eseguiti prima che le modifiche possano essere prelevate dai flussi di lavoro del ciclo di vita. |
| Al bisogno | Non sono necessarie altre configurazioni. |
| Basato sul tempo | employeeHireDate, employeeLeaveDateTime: questi attributi devono essere sincronizzati prima di essere usati. Per altre informazioni su questo processo, vedere Come sincronizzare gli attributi per i flussi di lavoro del ciclo di vita. createdDateTime: non sono necessarie altre configurazioni. Questa data è il giorno in cui l'account utente viene sincronizzato con Microsoft Entra ID, non quando sono stati creati in Active Directory. |
Definizione dell'ambito del flusso di lavoro
Per gli attributi utente usati all'interno delle funzionalità di definizione dell'ambito del flusso di lavoro, non sono necessarie altre configurazioni se gli attributi selezionati sono già sincronizzati. Per informazioni sugli attributi sincronizzati, vedere Mapping degli attributi in Microsoft Entra Cloud Sync e Microsoft Entra Connect Sync: estensioni della directory. Quando viene apportata una modifica in Active Directory, la sincronizzazione tramite Microsoft Entra Cloud Sync o Microsoft Entra Connect Sync deve verificarsi prima che le modifiche possano essere prelevate dai flussi di lavoro del ciclo di vita.
Attività del flusso di lavoro per gli utenti sincronizzati da Dominio di Active Directory Services a Microsoft Entra ID
Tutte le attività del flusso di lavoro del ciclo di vita funzionano sia per il cloud che per la sincronizzazione da Active Directory, ad eccezione delle limitazioni elencate per attività specifiche in questo articolo. Per altre informazioni su tutte le attività del flusso di lavoro del ciclo di vita, vedere Attività predefinite del flusso di lavoro del ciclo di vita.
Attività per gestire le appartenenze ai gruppi
Scenario: quando si sincronizzano gli utenti da Servizi di dominio Active Directory a Microsoft Entra ID, è possibile aggiungere o rimuovere utenti da gruppi di sicurezza basati sul cloud tramite le attività di gruppo del flusso di lavoro del flusso di lavoro del ciclo di vita. In questo modo è possibile gestire l'appartenenza a gruppi degli utenti sincronizzati nel cloud e aggiungere di nuovo questo gruppo ad Active Directory usando il writeback del gruppo Microsoft Entra Cloud Sync.
Per i gruppi sincronizzati da Servizi di dominio Active Directory all'ID Microsoft Entra, non sarà possibile usare le attività del gruppo Flusso di lavoro del ciclo di vita come indicato nello scenario. Tuttavia, è possibile usare Microsoft Entra ID Governance per gestire l'accesso alle applicazioni Active Directory locale (Kerberos) con i gruppi del cloud, supportati all'interno dei flussi di lavoro del ciclo di vita.
Attività dell'account utente
È necessaria una configurazione aggiuntiva per le attività del flusso di lavoro del ciclo di vita per abilitare, disabilitare ed eliminare gli account utente da sincronizzare da Servizi di dominio Active Directory. Prima di poter configurare le attività per eseguire azioni in Active Directory, è necessario completare i prerequisiti seguenti.
- È necessario che nell'ambiente sia installato l'agente di provisioning Microsoft Entra. Per i prerequisiti per l'installazione dell'agente di provisioning di Microsoft Entra, vedere: Requisiti dell'agente di provisioning cloud. Per una guida dettagliata sull'installazione dell'agente di provisioning di Microsoft Entra, vedere: Installare Microsoft Entra Provisioning Agent. Durante l'installazione scegliere "Provisioning basato sulle risorse umane/Microsoft Entra Connect Sync" come "configurazione dell'estensione". Non è necessario aggiungere altre configurazioni per l'agente di provisioning, ad esempio la configurazione della sincronizzazione cloud, ed è possibile installare l'agente di provisioning anche se attualmente si usa microsoft Entra Connect Sync per la sincronizzazione utente.
Nota
L'agente di provisioning installato deve essere almeno la versione 1.1.1586.0, rilasciata il 13 maggio 2024.
Verificare che l'account del servizio gestito del gruppo usato dall'agente di provisioning disponga delle autorizzazioni appropriate per eseguire operazioni sugli account utente.
Per eliminare gli account utente, è necessario abilitare il Cestino di Active Directory. Per una guida dettagliata sull'abilitazione del Cestino, vedere: Cestino di Active Directory procedura dettagliata.
Per una guida dettagliata sull'impostazione del flag in modo che le attività dell'account utente vengano eseguite per gli utenti sincronizzati da Dominio di Active Directory Services, vedere: Gestire la sincronizzazione da Dominio di Active Directory Services (AD DS) con flussi di lavoro.