Freigeben über

Tutorials zur Vorbereitung von Benutzerkonten für Lebenszyklus-Workflows

Für die Tutorials zum Onboarding und Offboarding benötigen Sie Konten, für die die Workflows ausgeführt werden. Diese Abschnitt unterstützt Sie bei der Vorbereitung dieser Konten. Wenn Sie bereits über Testkonten verfügen, die die folgenden Anforderungen erfüllen, können Sie direkt mit den Tutorials zum Onboarding und Offboarding fortfahren. Für die Onboardingtutorials sind zwei Konten erforderlich: ein Konto für den neu eingestellten Mitarbeiter und ein anderes Konto, das als Vorgesetzter des neu eingestellten Mitarbeiters fungiert. Für das Konto für den neu eingestellten Mitarbeiter müssen die folgenden Attribute festgelegt werden:

  • „employeeHireDate“ muss auf das heutige Datum festgelegt werden.
  • department muss auf „Vertrieb“ festgelegt werden.
  • Das manager-Attribut muss festgelegt werden, und das Konto des Vorgesetzten sollte über ein Postfach verfügen, um eine E-Mail zu empfangen.

Für die Offboarding-Tutorials ist nur ein Konto erforderlich, das über Gruppen- und Teams-Mitgliedschaften verfügt, das Konto wird während des Tutorials jedoch gelöscht.

Voraussetzungen

Für die Verwendung dieses Features sind Microsoft Entra ID Governance- oder Microsoft Entra Suite-Lizenzen erforderlich. Informationen zur richtigen Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.

  • Ein Microsoft Entra-Mandant
  • Ein Administratorkonto mit entsprechenden Berechtigungen für den Microsoft Entra-Mandanten. Dieses Konto wird verwendet, um unsere Benutzer*innen und Workflows zu erstellen.

Voraussetzungen

In den meisten Fällen werden Benutzer entweder aus einer lokalen Lösung (wie etwa Azure AD Connect oder Cloudsynchronisierung) oder mit einer Personalverwaltungslösung in Azure AD bereitgestellt. Für diese Benutzer*innen werden die Attribute und Werte zum Zeitpunkt der Erstellung aufgefüllt. Das Einrichten der Infrastruktur zur Bereitstellung von Benutzern wird in diesem Tutorial nicht behandelt. Weitere Informationen finden Sie in der Anleitung: Grundlegende Active Directory-Umgebung und der Anleitung: Die Integration einer einzelnen Gesamtstruktur mit einem einzelnen Microsoft Entra-Mandanten.

Erstellen von Benutzern in Microsoft Entra ID

Wir verwenden den Graph-Explorer, um schnell zwei Benutzer zu erstellen, die zum Ausführen der Lebenszyklus-Workflows in den Tutorials erforderlich sind. Eine Benutzerin stellt unsere neue Mitarbeiterin und die zweite deren Vorgesetzte dar.

Sie müssen den POST-Befehl bearbeiten und den Teil <your tenant name here> durch den Namen Ihres Mandanten ersetzen. Beispiel: Ändern Sie „$UPN_manager = "bsimon@<your tenant name here>“ in „$UPN_manager = "bsimon@contoso.onmicrosoft.com"“.

Hinweis

Beachten Sie, dass ein Workflow nicht ausgelöst wird, wenn das Einstellungsdatum des Mitarbeiters (Tage ab Ereignis) vor dem Erstellungsdatum des Workflows liegt. Das Datum für „employeeHiredate“ muss entwurfsbedingt in der Zukunft liegen. Die in diesem Tutorial verwendeten Datumsangaben sind eine Momentaufnahme. Daher sollten Sie die Datumsangaben Ihrer Situation entsprechend ändern.

Wir erstellen zunächst unsere Mitarbeiterin Melva Prince.

  1. Navigieren Sie nun zum Graph-Explorer.
  2. Melden Sie sich bei Graph-Tester mit dem Benutzeradministratorkonto für Ihren Mandanten an.
  3. Ändern Sie oben GET in POST und fügen Sie https://graph.microsoft.com/v1.0/users/ dem Feld hinzu.
  4. Kopieren Sie den folgenden Code in den Anforderungstext.
  5. Ersetzen Sie <your tenant here> im folgenden Code durch den Wert Ihres Azure AD-Mandanten.
  6. Abfrage ausführen auswählen
  7. Kopieren Sie die ID, die in den Ergebnissen zurückgegeben wird. Damit wird später eine Vorgesetzte zugewiesen.
{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Screenshot von POST create Melva im Graph-Explorer.

Als Nächstes erstellen wir Britta Simon. Dieses Konto wird als Vorgesetzter verwendet.

  1. Noch im Graph-Explorer.
  2. Stellen Sie sicher, dass der obere Bereich weiterhin auf POST festgelegt ist und https://graph.microsoft.com/v1.0/users/ sich im Feld befindet.
  3. Kopieren Sie den folgenden Code in den Anforderungstext.
  4. Ersetzen Sie <your tenant here> im folgenden Code durch den Wert Ihres Azure AD-Mandanten.
  5. Abfrage ausführen auswählen
  6. Kopieren Sie die ID, die in den Ergebnissen zurückgegeben wird. Mit dieser ID wird später ein Vorgesetzter zugewiesen. 
    {
  "accountEnabled": true,
  "displayName": "Britta Simon",
  "mailNickname": "bsimon",
  "department": "sales",
  "mail": "bsimon@<your tenant name here>",
  "employeeHireDate": "2021-01-15T22:10:00Z",
  "userPrincipalName": "bsimon@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Hinweis

Sie müssen den Abschnitt <your tenant name here> des Codes so ändern, dass er Ihrem Azure AD-Mandanten entspricht.

Alternativ kann auch das folgende PowerShell-Skript verwendet werden, um schnell zwei Benutzer zu erstellen, die zum Ausführen eines Lebenszyklus-Workflows erforderlich sind. Eine Benutzerin stellt unsere neue Mitarbeiterin und die zweite deren Vorgesetzte dar.

Wichtig

Das folgende PowerShell-Skript wird bereitgestellt, um schnell die beiden Benutzer zu erstellen, die für dieses Tutorial erforderlich sind. Diese Benutzer können auch im Microsoft Entra Admin Center erstellt werden.

Speichern Sie zum Erstellen dieses Schritts das unten angegebene PowerShell-Skript in einem Speicherort auf einem Computer, der Zugriff auf Azure hat.

Als Nächstes müssen Sie das Skript bearbeiten und den Teil <your tenant name here> durch den Namen Ihres Mandanten ersetzen. Beispiel: Ändern Sie „$UPN_manager = "bsimon@<your tenant name here>“ in „$UPN_manager = "bsimon@contoso.onmicrosoft.com"“.

Sie müssen diese Aktion sowohl für „$UPN_employee“ als auch für „$UPN_manager“ ausführen.

Speichern Sie das Skript nach dem Bearbeiten, und führen Sie diese Schritte aus:

  1. Öffnen Sie eine Windows PowerShell-Eingabeaufforderung mit Administratorrechten auf einem Computer, der Zugriff auf das Microsoft Entra Admin Center hat.
  2. Navigieren Sie zum Speicherort des PowerShell-Skripts, und führen Sie es aus.
  3. Wenn Sie beim Installieren des PowerShell-Moduls aufgefordert werden, wählen Sie "Ja zu allem".
  4. Wenn Sie dazu aufgefordert werden, melden Sie sich beim Microsoft Entra Admin Center als „Globaler Administrator“ für Ihren Mandanten an.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name Microsoft.Graph
Connect-MgGraph -Confirm

$PasswordProfile = @{
  Password = "$Password_manager"
  }

New-MgUser -DisplayName $Displayname_manager -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department

$PasswordProfile = @{
  Password = "$Password_employee"
  }

New-MgUser -DisplayName $Displayname_employee -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

Nachdem Ihr Benutzerkonto oder Ihre Benutzerkonten erfolgreich in Microsoft Entra ID erstellt wurden, können Sie zum Erstellen Ihres Workflows die Tutorials für Lebenszyklus-Workflows befolgen.

Weitere Schritte für das Prehire-Szenario

Es gibt einige weitere Schritte, die Sie beim Testen des Benutzer-Onboarding zu Ihrer Organisation mithilfe des Lernprogramms zu Lifecycle-Workflows im Microsoft Entra Admin Center oder des Benutzer-Onboarding zu Ihrer Organisation mithilfe des Lernprogramms zu Lifecycle-Workflows mit Microsoft Graph kennen sollten.

Bearbeiten der Benutzerattribute über das Microsoft Entra Admin Center

Einige der Attribute, die für das Tutorial zum Onboarding vor der Einstellung erforderlich sind, wurden über das Microsoft Entra Admin Center verfügbar gemacht und können dort festgelegt werden.

Zu diesen Attributen zählen folgende:

attribute BESCHREIBUNG Festlegen für
E-Mail Wird verwendet, um den Vorgesetzten über den temporären Zugriffspass des neuen Mitarbeiters zu benachrichtigen Leiter
Leiter Das Attribut, das vom Lebenszyklusworkflow verwendet wird Mitarbeiter

Für das Lernprogramm muss das E-Mail-Attribut nur für das Vorgesetztekonto und das für das Mitarbeiterkonto festgelegte Manager-Attribut festgelegt werden. Führen Sie die folgenden Schritte durch:

  1. Melden Sie sich mindestens als Benutzeradministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu >Entra-ID-Benutzern>.
  3. Wählen Sie Melva Prince aus.
  4. Wählen Sie oben "Bearbeiten" aus.
  5. Wählen Sie unter "Vorgesetzter" die Option "Ändern" und " Britta Simon" aus.
  6. Wählen Sie oben "Speichern" aus.
  7. Kehren Sie zu den Benutzern zurück, und wählen Sie Britta Simon aus.
  8. Wählen Sie oben "Bearbeiten" aus.
  9. Geben Sie unter "E-Mail" eine gültige E-Mail-Adresse ein.
  10. Wählen Sie "Speichern" aus.

Bearbeiten von employeeHireDate

Das employeeHireDate-Attribut ist neu in Microsoft Entra ID. Es wird nicht über die Benutzeroberfläche verfügbar gemacht und muss mithilfe von Graph aktualisiert werden. Zum Bearbeiten dieses Attributs können wir graph-Explorer verwenden.

Hinweis

Beachten Sie, dass ein Workflow nicht ausgelöst wird, wenn das Einstellungsdatum des Mitarbeiters (Tage ab Ereignis) vor dem Erstellungsdatum des Workflows liegt. Sie müssen zukünftig employeeHireDate festlegen. Die in diesem Tutorial verwendeten Datumsangaben sind eine Momentaufnahme. Daher sollten Sie die Datumsangaben Ihrer Situation entsprechend ändern.

Dazu müssen Sie die Objekt-ID für den Benutzer Melva Prince abrufen.

  1. Melden Sie sich mindestens als Benutzeradministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu >Entra-ID-Benutzern>.

  3. Wählen Sie Melva Prince aus.

  4. Wählen Sie das Kopierzeichen neben der Objekt-ID aus.

  5. Navigieren Sie nun zum Graph-Explorer.

  6. Melden Sie sich bei Graph-Tester mit dem Konto des globalen Administrators für Ihren Mandanten an.

  7. Ändern Sie oben GET in PATCH und fügen Sie https://graph.microsoft.com/v1.0/users/<id> dem Feld hinzu. Ersetzen Sie <id> durch den zuvor kopierten Wert.

  8. Kopieren Sie Folgendes in den Anforderungstext , und wählen Sie "Abfrage ausführen" aus.

    {
"employeeHireDate": "2022-04-15T22:10:00Z"
}

    Screenshot des PATCH-MitarbeitersHireDate.

  9. Überprüfen Sie die Änderung, indem Sie PATCH wieder auf GET und v1.0 in Beta ändern. Wählen Sie "Abfrage ausführen" aus. Die für Melva festgelegten Attribute sollten angezeigt werden.
    Screenshot des GET-MitarbeitersHireDate.

Bearbeiten des manager-Attributs für das Mitarbeiterkonto

Das manager-Attribut wird für E-Mail-Benachrichtigungsaufgaben verwendet. Er sendet dem Manager ein temporäres Kennwort für den neuen Mitarbeitenden. Führen Sie die folgenden Schritte aus, um sicherzustellen, dass für Ihre Azure AD-Benutzer ein Wert für das manager-Attribut festgelegt ist.

  1. Noch im Graph-Explorer.

  2. Stellen Sie sicher, dass der obere Bereich immer noch auf PUT festgelegt ist und https://graph.microsoft.com/v1.0/users/<id>/manager/$ref sich im Feld befindet. Ändern Sie <id> in die ID von Melva Prince.

  3. Kopieren Sie den folgenden Code in den Anforderungstext.

  4. Ersetzen Sie <managerid> im folgenden Code durch den Wert der ID von Britta Simon.

  5. Abfrage ausführen auswählen

    {
  "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
}

    Screenshot des Hinzufügens eines Managers im Graph-Explorer.

  6. Jetzt können wir überprüfen, ob der Manager korrekt festgelegt ist, indem wir PUT zu GET ändern.

  7. Stellen Sie sicher, dass im Feld https://graph.microsoft.com/v1.0/users/<id>/manager/ angegeben ist. Für <id> ist noch die ID von Melva Prince angegeben.

  8. Wählen Sie "Abfrage ausführen" aus. In der Antwort sollte Britta Simon zurückgegeben werden.

    Screenshot des Abrufens eines Vorgesetzten im Graph-Explorer.

Weitere Informationen zum Aktualisieren von Managerinformationen für einen Benutzer in der Graph-API finden Sie in der Dokumentation zum Zuweisen von Managern . Sie können dieses Attribut auch in Azure Admin Center festlegen. Weitere Informationen finden Sie unter Hinzufügen oder Ändern von Profilinformationen.

Aktivieren des befristeten Zugriffspasses (Temporary Access Pass, TAP)

Ein befristeter Zugriffspass ist ein von einem Administrator ausgestellter zeitlich befristeter Pass, der strenge Authentifizierungsanforderungen erfüllt.

In diesem Szenario verwenden wir dieses Feature von Azure AD, um einen befristeten Zugriffspass für eine neue Mitarbeiterin zu generieren. Er wird per E-Mail an den Manager des Mitarbeitenden gesendet.

Um dieses Feature zu verwenden, muss es für den Azure AD-Mandanten aktiviert sein. Um dieses Feature zu aktivieren, verwenden Sie die folgenden Schritte.

  1. Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Administrator für Authentifizierungsrichtlinien an.
  2. Navigieren Sie zu Entra ID>Authentifizierungsmethoden>Temporären Zugriffspass
  3. Wählen Sie "Ja " aus, um die Richtlinie zu aktivieren und Britta Simon hinzuzufügen und auszuwählen, welche Benutzer die Richtlinie angewendet haben, sowie alle allgemeinen Einstellungen.

Überlegung für Szenarien „Verlassen“

Es gibt einen zusätzlichen Schritt, den Sie beim Testen der Tutorials für das Offboarding aus Ihrer Organisation mithilfe von Lifecycle-Workflows mit dem Tutorial des Microsoft Entra Admin Centers oder mit Microsoft Graph beachten sollten.

Einrichten von Benutzern mit Gruppen und Teams mit Teammitgliedschaft

Sie benötigen ein Benutzerkonto mit Gruppen- und Teams-Mitgliedschaften, bevor Sie mit dem Tutorial für das Szenario „Verlassen“ beginnen.

Nächste Schritte

  • Last updated on