Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les workflows de cycle de vie vous aident à gérer les utilisateurs Microsoft Entra en augmentant l’automatisation. Avec les workflows de cycle de vie, vous bénéficiez des avantages suivants :
- Étendez votre processus d’approvisionnement basé sur les ressources humaines avec d’autres workflows qui simplifient et automatisent les tâches.
- Centralisez votre processus de workflow pour vous permettre de créer et de gérer facilement des workflows dans un seul et même emplacement.
- Résolvez les scénarios de workflow avec l’historique des workflows et les journaux d’audit avec un minimum d’efforts.
- Gérez le cycle de vie des utilisateurs à grande échelle. À mesure que votre organisation se développe, la nécessité que d’autres ressources gèrent les cycles de vie des utilisateurs se réduit.
- Réduisez ou supprimez les tâches manuelles qui ont été effectuées dans le passé avec des workflows de cycle de vie automatisés.
- Appliquez des applications logiques pour étendre les workflows pour des scénarios plus complexes à l’aide de vos applications logiques existantes.
Les workflows de cycle de vie sont une fonctionnalité de Microsoft Entra ID Governance. Les autres fonctionnalités sont la gestion des droits d’utilisation, les révisions d’accès, Privileged Identity Management (PIM) et les conditions d’utilisation. Ensemble, elles vous aident à répondre à ces questions :
- Quels utilisateurs doivent pouvoir accéder à quelles ressources ?
- Que font les utilisateurs de cet accès ?
- Un contrôle organisationnel efficace est-il disponible pour gérer l’accès ?
- Des auditeurs peuvent-ils vérifier que les contrôles fonctionnent ?
- Les utilisateurs sont-ils prêts à partir dès le premier jour ou leur accès est-il supprimé en temps opportun ?
Il est essentiel de planifier votre déploiement de workflows de cycle de vie pour vous assurer d’atteindre la stratégie de gouvernance souhaitée pour les utilisateurs de votre organisation.
Pour plus d’informations sur les plans de déploiement, veuillez consulter la section Plans de déploiement Microsoft Entra.
Conditions de licence :
L’utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID Governance ou Microsoft Entra Suite. Pour trouver la licence adaptée à vos besoins, consultez Principes de base des licences Gouvernance Microsoft Entra ID.
Planifier le projet de déploiement du workflow de cycle de vie
Tenez compte des besoins de votre organisation pour déterminer la stratégie de déploiement des workflows de cycle de vie dans votre environnement.
Impliquer les parties prenantes appropriées
Lorsque des projets technologiques échouent, cela est généralement dû à des attentes qui ne correspondent pas à l’impact, aux résultats et aux responsabilités réels. Pour éviter un tel cas de figure, prenez soin de faire appel aux bonnes parties prenantes et à clarifier les rôles du projet.
Pour les workflows de cycle de vie, vous inclurez probablement des représentants des équipes suivantes au sein de votre organisation :
L’administration informatique gère votre infrastructure informatique et administre vos investissements cloud et vos applications SaaS (Software as a service). Cette équipe :
- Examine les workflows de cycle de vie en lien avec l’infrastructure et les applications, y compris Microsoft 365 et Microsoft Entra ID.
- Planifie et exécute des workflows de cycle de vie sur les utilisateurs.
- Garantit que les workflows de cycle de vie programmatiques, via GRAPH ou l’extensibilité, sont gérés et révisés.
Le Responsable de la sécurité garantit que le plan répond aux exigences de sécurité de votre organisation. Cette équipe :
- Vérifie que les workflows de cycle de vie répondent aux stratégies de sécurité organisationnelles.
Le responsable de la conformité garantit que l’organisation suit la stratégie interne et respecte les réglementations. Cette équipe :
- Demande ou planifie les révisions de workflow de cycle de vie.
- Évalue les processus et les procédures de révision des workflows de cycle de vie, y compris la documentation et la tenue de registres pour en assurer la conformité.
- Examiner les résultats des révisions antérieures pour les ressources les plus critiques.
Le Représentant des ressources humaines aide à la mise en correspondance et au remplissage des attributs dans les scénarios d’approvisionnement des ressources humaines. Cette équipe :
- Aide à déterminer les attributs qui sont utilisés pour remplir les données de type employeeHireDate et employeeLeaveDateTime.
- Garantit que les attributs sources sont renseignés et ont des valeurs.
- Identifie et suggère d’autres attributs qui peuvent être mappés à employeeHireDate et employeeLeaveDateTime.
Les équipes de développement créent et entretiennent des applications pour votre organisation. Cette équipe :
- Développe des workflows personnalisés à l’aide de GRAPH.
- Intègre des workflows de cycle de vie avec Logic Apps via l’extensibilité.
Planifier les communications
La communication est essentielle à la réussite de tout nouveau processus métier. Communiquez de manière proactive aux utilisateurs comment et quand leur expérience sera modifiée. Dites-leur comment bénéficier d’un support s’ils rencontrent des problèmes.
Communiquer les changements en matière de responsabilité
Les workflows de cycle de vie prennent en charge le changement de responsabilité des processus manuels aux propriétaires d’entreprise. Établissez un processus clair et assurez vous que les responsabilités de chaque équipe sont bien intégrées. Le découplage de ces processus du service informatique entraîne une plus grande précision et une automatisation accrue. Il s’agit d’un changement culturel dans l’obligation de rendre des comptes et la responsabilité du propriétaire des ressources. Communiquez cette modification de manière proactive et assurez-vous que les propriétaires des ressources sont formés et en mesure d’utiliser les informations pour prendre de bonnes décisions.
Introduction aux workflows de cycle de vie
Cette section présente les concepts de workflow de cycle de vie que vous devez connaître avant de planifier votre déploiement.
Conditions préalables au déploiement de workflow de cycle de vie
Les informations suivantes sont importantes à propos de votre organisation et des technologies qui doivent être en place avant le déploiement des workflows de cycle de vie. Vérifiez que vous pouvez répondre oui à chacun des éléments avant de tenter de déployer des workflows de cycle de vie.
| Élément | Description | Documentation |
|---|---|---|
| Approvisionnement entrant | Vous avez un processus pour créer des comptes utilisateur pour les employés dans Microsoft Entra, comme un flux entrant RH à partir de Workday ou SuccessFactors, ou MIM. Sinon, vous avez un processus pour créer des comptes utilisateur dans Active Directory, et ces comptes sont approvisionnés dans Microsoft Entra ID. |
Workday vers Active Directory Workday vers Microsoft Entra ID SuccessFactors vers Active Directory SuccessFactors vers Microsoft Entra ID Microsoft Entra Connect Synchronisation cloud Microsoft Entra Connect Approvisionnement entrant piloté par API (Préversion publique) |
| Synchronisation d’attributs | Les comptes dans Microsoft Entra ID ont les attributs employeeHireDate et employeeLeaveDateTime renseignés. Les valeurs peuvent être renseignées lorsque les comptes sont créés depuis un système RH ou synchronisés depuis AD à l’aide de Microsoft Entra Connect ou cloud sync. Vous disposez d’attributs supplémentaires utilisés pour déterminer l’étendue, tels que le département, renseignés ou pouvant l’être. | Comment synchroniser les attributs pour les workflows de cycle de vie |
Présentation des parties d’un workflow
Avant de commencer à planifier un déploiement de workflow de cycle de vie, vous devez vous familiariser avec les parties du workflow et la terminologie autour des workflows de cycle de vie.
Le document Présentation des workflows de cycle de vie utilise le portail pour expliquer les parties d’un workflow. Le document Workflow de cycle de vie de l’API développeur utilise un exemple Graph pour expliquer les parties d’un workflow.
Vous pouvez utiliser ce document pour vous familiariser avec les parties du workflow avant de les déployer.
Limitations et contraintes
Le tableau suivant fournit des informations dont vous avez besoin pour connaître la création et le déploiement de workflows de cycle de vie.
| Élément | Description |
|---|---|
| Workflows | 100 limites de flux de travail par locataire |
| Nombre de tâches personnalisées | Limite de 25 par workflow |
| Plage de valeurs pour offsetInDays | Entre -180 et 180 jours |
| Planification de l’exécution du workflow | Par défaut toutes les 3 heures : peut être défini pour s’exécuter entre 1 et 24 heures |
| Extensions de tâches personnalisées | Nombre limité à 100 |
| Limite de l’utilisateur à la demande | Vous pouvez exécuter un workflow à la demande sur un maximum de 10 utilisateurs |
| Limite de délai d’expiration du rappel d’extensibilité | Minimum 3 minutes, maximum 5 heures |
Voici des informations supplémentaires que vous devez connaître.
- Vous ne pouvez pas activer la planification pour les scénarios Leaver (Départ) et Mover (Mobilité) en temps réel. C'est la procédure normale.
Liste de contrôle de création du workflow de cycle de vie
Le tableau suivant fournit une liste de contrôle rapide des étapes que vous pouvez utiliser lors de la conception et de la planification de vos workflows.
| Étape | Description |
|---|---|
| Déterminer votre scénario | Déterminer quel scénario vous traitez avec un workflow |
| Déterminer les conditions d’exécution | Déterminer pour qui et quand le workflow s’exécute |
| Passer en revue les tâches | Passer en revue et ajouter des tâches supplémentaires au workflow |
| Créer votre workflow | Créez votre workflow après la planification et la conception. |
| Prévoir un pilote | Planifiez le pilote, l’exécution et le test de votre workflow. |
Déterminer votre scénario
Avant de créer un workflow de cycle de vie dans le portail, vous devez déterminer le scénario ou les scénarios que vous souhaitez déployer. Vous pouvez utiliser le tableau suivant pour afficher la liste actuelle des scénarios disponibles. Ceux-ci sont basés sur les modèles disponibles dans le portail et répertorient la tâche associée à chacun d’eux.
| Scénario | Tâches prédéfinies |
|---|---|
| Intégrer un employé pré-embauché | Générer le TAP et envoyer un e-mail |
| Intégrer un nouvel employé | Activer le compte d’utilisateur Envoyer un e-mail de bienvenue Ajouter l’utilisateur à des groupes |
| Retrait en temps réel d’un employé | Supprimer l’utilisateur de tous les groupes Supprimer l’utilisateur de toutes les équipes Supprimer un compte d’utilisateur |
| Préretrait d’un employé | Supprimer l’utilisateur des groupes sélectionnés Supprimer l’utilisateur du groupe Teams sélectionné |
| Retrait d’un employé | Désactiver le compte d’utilisateur Supprimer l’utilisateur de tous les groupes Supprimer l’utilisateur de toutes les équipes |
| Post-retrait d’un employé | Supprimer toutes les licences d’un utilisateur Supprimer un utilisateur de l’ensemble de Teams Supprimer un compte d’utilisateur |
| Changement d’employé en temps réel | Exécuter une extension de tâche personnalisée |
| Changements d’appartenance à un groupe d’employés | Supprimer l’attribution de package d’accès pour l’utilisateur Supprimer l’utilisateur des équipes sélectionnées Envoyer un e-mail pour notifier le manager du changement d’employé |
| Changement de poste d’employé | Envoyer un e-mail pour notifier le manager du changement d’employé Supprimer l’utilisateur des groupes sélectionnés Supprimer l’utilisateur des équipes sélectionnées Demander l’attribution d’un package d’accès pour l’utilisateur |
Changements d’appartenance à un groupe d’employés
Pour plus d’informations sur les modèles intégrés, consultez Modèles de workflow de cycle de vie.
Déterminer les conditions d’exécution
Maintenant que vous avez déterminé vos scénarios, vous devez examiner les utilisateurs de votre organisation auxquels s’appliquent les scénarios.
Une condition d’exécution fait partie d’un workflow qui définit l’étendue qui et le déclencheur du moment d’exécution d’un workflow.
L’étendue détermine sur qui s’exécute le workflow. Ceci est défini par une règle qui filtre les utilisateurs en fonction d’une condition. Par exemple, la règle "rule": "(department eq 'sales')" n’exécute la tâche que sur les utilisateurs membres du service Ventes.
Le déclencheur détermine quand le workflow s’exécute. Cela peut être soit à la demande (immédiat), soit exécuté selon un calendrier. La plupart des modèles prédéfinis dans le portail sont conçus pour s’exécuter selon un calendrier lorsque leur déclencheur est activé.
Informations sur les attributs
L’étendue d’un workflow utilise des attributs sous la section Règle. Vous pouvez ajouter les conditions supplémentaires suivantes pour affiner davantage la personne à laquelle les tâches sont appliquées.
- And
- Et non
- ou
- Ou pas
Vous pouvez également choisir parmi les nombreux attributs utilisateur.
Toutefois, avant de sélectionner un attribut à utiliser dans votre condition d’exécution, vous devez vous assurer que l’attribut est rempli avec des données ou que vous pouvez commencer à le remplir avec les données requises.
Tous ces attributs ne sont pas renseignés par défaut, vous devez donc vérifier auprès de votre administrateur RH ou informatique lors de l’utilisation de l’approvisionnement cloud uniquement entrant RH, Microsoft Entra Connect ou cloud sync.
Informations basées sur l’heure
Voici quelques informations importantes sur les fuseaux horaires que vous devez connaître lors de la conception de workflow.
- Workday et SAP SF envoient toujours l’heure au format UTC (temps universel coordonné).
- Si vous êtes dans un fuseau horaire unique, il est recommandé de coder en dur la partie temporelle sur un fuseau horaire qui fonctionne pour vous. Par exemple, 5 h du matin pour les scénarios de nouvelle embauche et 22 h pour les scénarios de dernière journée de travail.
- Il est recommandé que si vous utilisez un passe d’accès temporaire (TAP), vous définissez la durée de vie maximale sur 24 heures. Cela permet de s’assurer que le TAP n’a pas expiré après avoir été envoyé à un employé situé dans un autre fuseau horaire. Pour plus d’informations, veuillez consulter la section Configurer un code d’accès temporaire dans Microsoft Entra ID pour enregistrer les méthodes d’authentification sans mot de passe.
Pour plus d’informations, veuillez consulter la section Comment synchroniser les attributs pour les workflows de cycle de vie.
Passer en revue les tâches
Maintenant que nous avons déterminé le scénario, ainsi que le concerné et la chronologie, vous devez déterminer si les tâches prédéfinies sont suffisantes ou si vous avez besoin de tâches supplémentaires. Le tableau suivant contient la liste des tâches prédéfinies se trouvant actuellement dans le portail. Utilisez ce tableau pour déterminer si vous souhaitez ajouter d’autres tâches.
| Tâche | Description | Scénarios pertinents |
|---|---|---|
| Ajouter un utilisateur à des groupes | Ajouter un utilisateur aux groupes sélectionnés | Joiner - Leaver - Mover (arrivant – partant – en mobilité) |
| Ajouter un utilisateur aux équipes sélectionnées | Ajouter un utilisateur à Teams | Joiner - Leaver - Mover (arrivant – partant – en mobilité) |
| Attribuer des licences à des utilisateurs | Attribuer des licences à l’utilisateur | Joiner - Mover (arrivant – en mobilité) |
| Supprimer un compte d’utilisateur | Supprimer le compte utilisateur dans Microsoft Entra ID | Sortant |
| Désactiver un compte d’utilisateur | Désactiver le compte d’utilisateur dans le répertoire | Nouveau - Sortant |
| Activer un compte d’utilisateur | Activer le compte d’utilisateur dans le répertoire | Nouveau - Sortant |
| Générer le TAP et envoyer un e-mail | Générer une passe d’accès temporaire et envoyer par e-mail au manager de l’utilisateur | Nouveau |
| Supprimer toutes les licences de l’utilisateur | Supprimer toutes les licences attribuées à l’utilisateur | Sortant |
| Supprimer un utilisateur de tous les groupes | Supprimer l’utilisateur de toutes les appartenances aux groupes Microsoft Entra | Sortant |
| Supprimer un utilisateur de l’ensemble de Teams | Supprimer l’utilisateur de toutes les appartenances Teams | Sortant |
| Supprimer l’utilisateur des groupes sélectionnés | Supprimer l’utilisateur de l’appartenance aux groupes Microsoft Entra sélectionnés | Joiner - Leaver - Mover (arrivant – partant – en mobilité) |
| Supprimer l’utilisateur des équipes sélectionnées | Supprimer l’utilisateur de l’appartenance à Teams sélectionnée | Joiner - Leaver - Mover (arrivant – partant – en mobilité) |
| Exécuter une extension de tâche personnalisée | Exécuter une extension de tâche personnalisée pour appeler un système externe | Joiner - Leaver - Mover (arrivant – partant – en mobilité) |
| Envoyer un e-mail après le dernier jour de l’utilisateur | Envoyer un e-mail de retrait au responsable de l’utilisateur après le dernier jour de travail | Sortant |
| Envoyer un e-mail avant le dernier jour de l’utilisateur | Envoyer un e-mail de retrait au responsable de l’utilisateur avant le dernier jour de travail | Sortant |
| Envoyer un e-mail le dernier jour de l’utilisateur | Envoyer un e-mail de retrait au responsable de l’utilisateur lors du dernier jour de travail | Sortant |
| Envoyer un e-mail de bienvenue | Envoyer un e-mail de bienvenue au nouvel employé | Nouveau |
| Envoyer un e-mail de rappel d’intégration | Envoyer un e-mail de rappel d’intégration au manager de l’utilisateur | Nouveau |
| Demander l’attribution d’un package d’accès pour l’utilisateur | Demander l’attribution de packages d’accès sélectionnés pour l’utilisateur | Joiner - Mover (arrivant – en mobilité) |
| Supprimer l’attribution de package d’accès pour l’utilisateur | Supprimer l’attribution de packages d’accès sélectionnés pour l’utilisateur | Leaver - Mover (partant – en mobilité) |
| Supprimer toutes les attributions de package d’accès pour l’utilisateur | Supprimer tous les packages d’accès attribués à l’utilisateur | Sortant |
| Supprimer les attributions de licences sélectionnées pour l’utilisateur | Supprimer certaines attributions de licences pour l’utilisateur | Leaver - Mover (partant – en mobilité) |
| Annuler toutes les demandes en attente d’attribution de packages d’accès pour les utilisateurs | Annuler toutes les demandes en attente d’attribution de packages d’accès pour les utilisateurs | Sortant |
Pour plus d’informations sur les tâches, consultez Tâches de workflow de cycle de vie.
Tâches de groupe et d’équipe
Si vous utilisez une tâche de groupe ou d’équipe, le workflow exige que vous spécifiiez le groupe ou les groupes. Dans la capture d’écran suivante, le triangle jaune sur la tâche indique qu’il manque des informations.
En sélectionnant la tâche, une barre de navigation s’affiche pour ajouter ou supprimer des groupes. Sélectionnez le lien « x groupes sélectionnés » pour ajouter des groupes.
Extensions de tâches personnalisées
Les workflows de cycle de vie vous permettent de créer des workflows qui peuvent être déclenchés en fonction des scénarios (embauche, mutation ou départ). Bien que les workflows de cycle de vie proposent plusieurs tâches intégrées pour automatiser les scénarios courants tout au long du cycle de vie des utilisateurs, vous pourriez finir par atteindre les limites de ces tâches intégrées. Grâce à la fonctionnalité d’extensibilité, vous pouvez utiliser le concept d’extensions de tâches personnalisées pour interagir avec des systèmes externes dans le cadre d’un workflow de cycle de vie.
Les scénarios d’interaction d’une extension de tâche personnalisée avec les workflows de cycle de vie peuvent prendre l’une des trois formes suivantes :
- Scénario fire-and-forget : l’application logique est démarrée et l’exécution séquentielle de la tâche continue immédiatement sans réponse attendue à partir de l’application logique.
- Exécution de tâche séquentielle en attente de réponse de l’application logique : l’application logique est démarrée et l’exécution de tâche séquentielle attend la réponse de l’application logique.
- Exécution de tâche séquentielle en attente de la réponse d’un système tiers : l’application logique est démarrée, et l’exécution de tâche séquentielle attend la réponse d’un système tiers qui déclenche l’application logique pour indiquer à l’extension de tâche personnalisée si l’exécution a réussi ou non.
- Pour plus d’informations sur les extensions personnalisées, consultez Extensibilité du workflow de cycle de vie.
Créer votre workflow
Maintenant que vous avez conçu et planifié votre workflow, vous pouvez le créer dans le portail. Pour plus d’informations sur la création d’un workflow, consultez Créer un workflow de cycle de vie.
Prévoir un pilote
Nous encourageons les clients à piloter initialement des workflows de cycle de vie avec un petit groupe d’utilisateurs ou un seul utilisateur de test. Le pilotage peut vous aider à ajuster les processus et les communications en fonction des besoins. Il peut vous aider à augmenter la capacité des utilisateurs et des réviseurs à répondre aux exigences de sécurité et de conformité.
Dans votre pilote, nous vous recommandons d’effectuer les tâches suivantes :
- Commencez par les workflows de cycle de vie où les résultats sont appliqués à un petit sous-ensemble d’utilisateurs.
- Analysez les journaux d’audit pour vous assurer que tous les événements sont correctement audités.
Pour plus d’informations, consultez les meilleures pratiques pour un pilote.
Tester et exécuter le workflow
Une fois que vous avez créé un workflow, vous devez le tester en exécutant le workflow à la demande.
L’utilisation de la fonctionnalité à la demande vous permet de tester et d’évaluer si le workflow de cycle de vie fonctionne comme prévu.
Une fois que vous avez effectué des tests, vous pouvez retravailler le workflow de cycle de vie ou vous préparer à une distribution plus large.
Journaux d’audit
Vous pouvez également obtenir plus d’informations à partir des journaux d’audit. Ces journaux sont accessibles dans le portail sous Microsoft Entra ID/Monitoring. Pour plus d’informations, veuillez consulter les sections Journaux d’audit dans Microsoft Entra ID et Historique des workflows de cycle de vie.
Exemple de plan de workflow de cycle de vie
| Étape | Description |
|---|---|
| Déterminer le scénario | Un workflow de pré-embauche qui envoie un e-mail au nouveau manager. |
| Déterminer les conditions d’exécution | Le workflow s’exécute sur les nouveaux employés du service Ventes, deux (2) jours avant la employeeHireDate. |
| Passez en revue les tâches. | Nous utilisons les tâches prédéfinies dans le workflow. Aucune tâche supplémentaire n'est ajoutée. |
| Créer le workflow dans le portail | Utilisez le modèle prédéfini pour une nouvelle embauche dans le portail. |
| Créer et tester le workflow | Utilisez la fonctionnalité à la demande pour tester le workflow sur un utilisateur. |
| Vérifier les résultats des tests | Passez en revue les résultats des tests et vérifiez que le workflow de cycle de vie fonctionne comme prévu. |
| Déployer le workflow sur un public plus large | Communiquez avec les parties prenantes, en leur indiquant que le workflow va être activé que les RH n’auront plus besoin d’envoyer un e-mail au manager d’embauche. |
Étapes suivantes
En savoir plus sur les technologies associées suivantes :