Gerenciando usuários sincronizados do Active Directory Domain Services para o Microsoft Entra ID com fluxos de trabalho do Lifecycle
Os fluxos de trabalho do ciclo de vida dão suporte à governança do ciclo de vida da identidade para as contas de usuário sincronizadas do AD DS (Active Directory Domain Services) para o Microsoft Entra ID. Para os fluxos de trabalho do ciclo de vida, é essencial que exista uma conta de usuário no Microsoft Entra ID, mas a forma como a conta foi criada ou como as alterações relevantes do ciclo de vida estão sendo feitas na conta desempenha um papel menor quando se trata de processar os fluxos de trabalho e as tarefas associadas para a conta de usuário. Esse suporte inclui as contas e as alterações feitas por meio de opções como provisionamento controlado por RH, APIs do Microsoft Graph, Portal do Administrador do Microsoft Entra, bem como as alterações sincronizadas pelo Microsoft Entra Connect e Microsoft Cloud Sync.
A tabela a seguir lista cenários comuns de automação para usuários sincronizados do AD DS usando o Microsoft Entra ID Governance:
| Cenário para automatizar | Solução do Microsoft Entra ID Governance |
|---|---|
| Criar a conta de usuário no Active Directory Domain Services | Provisionamento impulsionado por RH |
| Fornecer credenciais iniciais ou senha para contas de usuário | A tarefa Gerar Senha de Acesso Temporária e enviar por email para o gerente do usuário pode ser usada para configurar credenciais sem senha. Para configurar uma senha regular do Active Directory, você pode usar a redefinição de senha de autoatendimento do Microsoft Entra. |
| Atribuindo licenças | A tarefa Atribuir licenças ao fluxo de trabalho do ciclo de vida do usuário pode ser usada para atribuir licenças. Você também pode atribuir licenças aos usuários por meio de um grupo. |
| Conceder aos usuários acesso a aplicativos baseados em grupo do Active Directory | Controlar o acesso de aplicativos do Active Directory local (Kerberos) |
| Atualizar atributos de usuário no Active Directory à medida que eles movem organizações | Planejar filtros de escopo e mapeamento de atributos |
| Mover usuários para diferentes UOs à medida que eles movem organizações | Configurar a atribuição de contêiner de UO do Active Directory |
| Desabilitar usuários no último dia | A tarefa Desabilitar fluxo de trabalho do ciclo de vida da conta de usuário pode ser usada para desabilitar uma conta de usuário no seu último dia. |
| Excluir usuários em um determinado número de dias após o encerramento | A tarefa Excluir fluxo de trabalho do ciclo de vida do usuário pode ser usada em um modelo de fluxo de trabalho para excluir usuários um determinado número de dias após o encerramento. |
Neste artigo, você aprenderá o que precisa ser considerado se quiser usar os fluxos de trabalho do ciclo de vida para as contas de usuário sincronizadas do AD DS para o Microsoft Entra ID.
Condições de execução de fluxo de trabalho com usuários sincronizados do AD DS (Active Directory Domain Services) para o Microsoft Entra ID
Os fluxos de trabalho do ciclo de vida são processados para as contas de usuário quando atendem às condições de execução dos fluxos de trabalho. As condições de execução são compostas por um gatilho e um escopo. O gatilho descreve o evento que ocorre em uma conta de usuário. O escopo permite definir melhor para quem o fluxo de trabalho será executado quando o evento ocorrer.
Gatilhos do fluxo de trabalho
A tabela a seguir mostra o que deve ser considerado para cada gatilho do fluxo de trabalho quando usado com os usuários sincronizados do AD DS:
| Gatilho do Fluxo de Trabalho | Requisitos |
|---|---|
| Alterações de atributo | Nenhuma configuração adicional é necessária desde que os atributos estejam sincronizados. Para obter informações sobre os atributos sincronizados, confira: Mapeamento de atributos no Microsoft Entra Cloud Sync e Microsoft Entra Connect Sync: Extensões de diretório. Quando uma alteração é feita no Active Directory, a sincronização por meio do Microsoft Entra Cloud Sync ou do Microsoft Entra Connect Sync precisa ocorrer antes que as alterações possam ser captadas nos fluxos de trabalho do ciclo de vida. |
| Baseadas em associações a um grupo | Como qualquer tipo de grupo tem suporte, nenhuma configuração adicional é necessária. Se o grupo se originar do Active Directory, deverá ser sincronizado com o Microsoft Entra. A sincronização do Microsoft Entra Cloud Sync, ou do Microsoft Entra Connect Sync, precisa ocorrer antes que as alterações possam ser coletadas nos fluxos de trabalho do ciclo de vida. |
| Sob demanda | Nenhuma configuração adicional é necessária. |
| Com base no tempo | employeeHireDate, employeeLeaveDateTime: esses atributos devem ser sincronizados antes de serem usados. Para obter mais informações sobre esse processo, confira: Como sincronizar atributos para os fluxos de trabalho do ciclo de vida. createdDateTime: Nenhuma configuração adicional necessária. Esta data é o dia em que a conta do usuário é sincronizada com o Microsoft Entra ID, e não quando ela foi criada no Active Directory. |
Escopo do fluxo de trabalho
Para atributos de usuário usados nos recursos de escopo do fluxo de trabalho, nenhuma configuração adicional será necessária se os atributos selecionados já estiverem sincronizados. Para obter informações sobre os atributos sincronizados, confira: Mapeamento de atributos no Microsoft Entra Cloud Sync e Microsoft Entra Connect Sync: Extensões de diretório. Quando uma alteração é feita no Active Directory, a sincronização por meio do Microsoft Entra Cloud Sync ou do Microsoft Entra Connect Sync precisa ocorrer antes que as alterações possam ser captadas nos fluxos de trabalho do ciclo de vida.
Tarefas de fluxo de trabalho para usuários sincronizados do Active Directory Domain Services para o Microsoft Entra ID
Todas as tarefas do fluxo de trabalho do ciclo de vida funcionam tanto para a nuvem quanto para os usuários sincronizados do Active Directory, exceto para limitações listadas em tarefas especificadas posteriormente neste artigo. Para obter mais informações sobre todas as tarefas de fluxo de trabalho do ciclo de vida, confira: Tarefas internas do fluxo de trabalho do ciclo de vida.
Tarefas para controlar as associações de grupo
Cenário: ao sincronizar usuários do AD DS com o Microsoft Entra ID, você pode adicionar ou remover usuários de grupos de segurança baseados em nuvem por meio das tarefas de grupo do fluxo de trabalho do ciclo de vida. Isso permite que você controle a associação de grupo dos usuários sincronizados na nuvem e também adicione esse grupo de volta ao Active Directory usando o write-back do grupo de sincronização em nuvem do Microsoft Entra.
Para grupos sincronizados do AD DS para o Microsoft Entra ID, você não poderia usar as tarefas de grupo do fluxo de trabalho do ciclo de vida, conforme mencionado no cenário. No entanto, o Microsoft Entra ID Governance pode ser usado para controlar o acesso de aplicativos do Active Directory local (Kerberos) com os grupos da nuvem, que têm suporte nos fluxos de trabalho do ciclo de vida.
Tarefas de conta de usuário
A configuração adicional é necessária para que as tarefas de fluxo de trabalho do ciclo de vida habilitem, desabilitem e excluam as contas de usuário para trabalhar com os sincronizados de AD DS. Os pré-requisitos a seguir devem ser concluídos antes que você possa configurar as tarefas para executar ações no Active Directory.
- Você deve ter o agente de provisionamento do Microsoft Entra instalado em seu ambiente. Para obter os pré-requisitos sobre como instalar o agente de provisionamento do Microsoft Entra, confira: Requisitos do agente de provisionamento de nuvem. Para obter um guia passo a passo sobre como instalar o agente de provisionamento do Microsoft Entra, confira: Instalar o Agente de Provisionamento do Microsoft Entra. Durante a instalação, escolha "Provisionamento controlado por RH/Microsoft Entra Connect Sync" como a "configuração de extensão". Você não precisa adicionar nenhuma outra configuração para o agente de provisionamento, como a configuração de sincronização de nuvem, e pode instalar o agente de provisionamento, mesmo que você também esteja usando o Microsoft Entra Connect Sync para sincronização do usuário.
Observação
O agente de provisionamento instalado deve ser pelo menos a versão 1.1.1586.0, que foi lançada em 13 de maio de 2024.
Verifique se a Conta de Serviço Gerenciado de Grupo (gMSA) usada pelo agente de provisionamento tem as permissões apropriadas para executar operações em contas de usuário.
Para excluir as contas de usuários, habilite a lixeira do Active Directory. Para obter um guia passo a passo sobre como habilitar a lixeira, confira: Passo a passo da lixeira do Active Directory.
Para obter um guia passo a passo sobre como definir o sinalizador para que as tarefas da conta de usuário sejam executadas para usuários sincronizados dos Active Directory Domain Services, consulte: Gerenciar sincronizados dos AD DS (Active Directory Domain Services) com fluxos de trabalho.