Udostępnij przez

Samouczki dotyczące przygotowania kont użytkowników na potrzeby procesów cyklu życia

Samouczki dotyczące dołączania i odłączania wymagają kont, dla których są realizowane przepływy pracy. Ta sekcja pomaga w przygotowaniu tych kont. Jeśli masz już konta testowe spełniające następujące wymagania, możesz przejść bezpośrednio do instrukcji dotyczących dołączania i odłączania. Do samouczków onboardingowych wymagane są dwa konta, jedno konto dla nowego pracownika i inne konto, które działa jako menedżer nowego pracownika. Konto nowego pracownika musi mieć ustawione następujące atrybuty:

  • parametr employeeHireDate musi być ustawiony na dzisiaj
  • dział musi być ustawiony na sprzedaż
  • atrybut manager musi być ustawiony, a konto menedżera powinno mieć skrzynkę pocztową do odbierania wiadomości e-mail

Samouczki dotyczące odchodzenia wymagają tylko jednego konta, które ma członkostwo w grupach i Microsoft Teams, ale konto jest usuwane podczas samouczka.

Wymagania wstępne

Korzystanie z tej funkcji wymaga licencji Microsoft Entra ID Governance lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla swoich potrzeb, zobacz Podstawy licencjonowania zarządzania Microsoft Entra ID.

  • Klient Microsoft Entra
  • Konto administratora z odpowiednimi uprawnieniami dla dzierżawy Microsoft Entra. To konto służy do tworzenia użytkowników i przepływów pracy.

Zanim rozpoczniesz

W większości przypadków użytkownicy będą przydzielani do Microsoft Entra ID z rozwiązania lokalnego (takiego jak Microsoft Entra Connect lub Cloud Sync) lub z pomocą rozwiązania HR. Ci użytkownicy mają atrybuty i wartości przypisane w momencie tworzenia. Konfigurowanie infrastruktury w celu aprowizacji użytkowników wykracza poza zakres tego samouczka. Aby uzyskać informacje, zobacz Samouczek: podstawowe środowisko Active Directory oraz Samouczek: integracja pojedynczego lasu z pojedynczą dzierżawą Microsoft Entra.

Tworzenie użytkowników w identyfikatorze Entra firmy Microsoft

Za pomocą Eksploratora Graph szybko utworzymy dwóch użytkowników potrzebnych do wykonania procesów cyklu życia w samouczkach. Jeden użytkownik reprezentuje naszego nowego pracownika, a drugi reprezentuje menedżera tego pracownika.

Musisz edytować post i zastąpić <nazwę twojego najemcy> faktyczną nazwą twojego najemcy. Na przykład: $UPN_manager = "bsimon@<nazwa dzierżawcy tutaj>" do $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Uwaga

Należy pamiętać, że przepływ pracy nie będzie wyzwalany, gdy data zatrudnienia pracownika (dni od zdarzenia) jest wcześniejsza niż data utworzenia przepływu pracy. Musisz ustawić datę zatrudnienia pracownika w przyszłości z założenia. Daty używane w tym samouczku to moment uchwycony w czasie. W związku z tym należy odpowiednio zmienić daty, aby uwzględnić je w tej sytuacji.

Najpierw tworzymy naszego pracownika, Melva Prince.

  1. Teraz przejdź do Eksploratora programu Graph.
  2. Zaloguj się do Graph Explorer przy użyciu konta administratora użytkownika dla swojego klienta.
  3. W górnej części zmień pozycję GET na POST i dodaj https://graph.microsoft.com/v1.0/users/ do pola .
  4. Skopiuj następujący kod do treści żądania
  5. Zastąp <your tenant here> w poniższym kodzie wartością dzierżawy Microsoft Entra.
  6. Wybierz pozycję Uruchom zapytanie
  7. Skopiuj identyfikator zwrócony w wynikach. Jest to używane później do przypisywania menedżera.
{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Zrzut ekranu z POST create Melva w eksploratorze grafu.

Następnie tworzymy Britta Simon. To konto jest używane przez nas jako konto menedżera.

  1. Nadal w Eksploratorze programu Graph.
  2. Upewnij się, że górna część jest nadal ustawiona na POST i https://graph.microsoft.com/v1.0/users/ jest w polu.
  3. Skopiuj następujący kod do treści żądania
  4. Zastąp <your tenant here> w poniższym kodzie wartością dzierżawy Microsoft Entra.
  5. Wybierz pozycję Uruchom zapytanie
  6. Skopiuj identyfikator zwrócony w wynikach. Ten identyfikator jest używany później do przypisywania menedżera. 
    {
  "accountEnabled": true,
  "displayName": "Britta Simon",
  "mailNickname": "bsimon",
  "department": "sales",
  "mail": "bsimon@<your tenant name here>",
  "employeeHireDate": "2021-01-15T22:10:00Z",
  "userPrincipalName": "bsimon@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Uwaga

Musisz zmienić sekcję kodu <Twoja_nazwa_dzierżawy>, aby odpowiadała dzierżawie Microsoft Entra.

Alternatywnie można użyć następującego skryptu PowerShell, aby szybko utworzyć dwóch użytkowników potrzebnych do realizacji przepływu pracy cyklu życia. Jeden użytkownik reprezentuje naszego nowego pracownika, a drugi reprezentuje menedżera tego pracownika.

Ważne

Poniższy skrypt programu PowerShell jest udostępniany w celu szybkiego utworzenia dwóch użytkowników wymaganych w tym samouczku. Tych użytkowników można również utworzyć w centrum administracyjnym firmy Microsoft Entra.

Aby utworzyć ten krok, zapisz następujący skrypt programu PowerShell w lokalizacji na maszynie, która ma dostęp do platformy Azure.

Następnie należy edytować skrypt i zastąpić część <nazwa twojej dzierżawy> faktyczną nazwą twojej dzierżawy. Na przykład: $UPN_manager = "bsimon@<nazwa dzierżawcy tutaj>" do $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Należy wykonać tę akcję zarówno dla $UPN_employee, jak i $UPN_manager

Po edytowaniu skryptu zapisz go i wykonaj następujące kroki:

  1. Otwórz wiersz polecenia programu Windows PowerShell z uprawnieniami administracyjnymi z komputera, który ma dostęp do centrum administracyjnego firmy Microsoft Entra.
  2. Przejdź do zapisanej lokalizacji skryptu programu PowerShell i uruchom ją.
  3. Jeśli podczas instalowania modułu programu PowerShell zostanie wyświetlony monit, wybierz opcję Tak dla wszystkich.
  4. Po wyświetleniu monitu zaloguj się do centrum administracyjnego Microsoft Entra za pomocą konta Globalnego Administratora dla twojej dzierżawy.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name Microsoft.Graph
Connect-MgGraph -Confirm

$PasswordProfile = @{
  Password = "$Password_manager"
  }

New-MgUser -DisplayName $Displayname_manager -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department

$PasswordProfile = @{
  Password = "$Password_employee"
  }

New-MgUser -DisplayName $Displayname_employee -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

Po pomyślnym utworzeniu użytkownika lub użytkowników w usłudze Microsoft Entra ID możesz przejść do instrukcji dotyczących zarządzania cyklem życia przepływów pracy w celu utworzenia przepływu pracy.

Inne kroki scenariusza prehire

Istnieją pewne inne kroki, które należy wziąć pod uwagę podczas testowania samouczka Dołączanie użytkowników do organizacji z użyciem przepływów pracy cyklu życia w centrum administracyjnym Microsoft Entra lub samouczka Dołączanie użytkowników do organizacji z użyciem przepływów pracy cyklu życia w programie Microsoft Graph.

Edytowanie atrybutów użytkowników przy użyciu centrum administracyjnego firmy Microsoft Entra

Niektóre atrybuty wymagane do instruktażu przed zatrudnieniem są dostępne w centrum administracyjnym Microsoft Entra i można je tam ustawić.

Te atrybuty są następujące:

Atrybut opis Ustaw
poczta Służy do powiadamiania kierownika o tymczasowych przepustkach dostępu dla nowych pracowników Menedżer
menedżer Ten atrybut jest używany przez przepływ pracy w cyklu życia Pracownik

Na potrzeby samouczka atrybut poczty musi być ustawiony tylko na koncie menedżera i atrybut menedżera ustawiony na koncie pracownika. Wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
  2. Przejdź do >Entra ID>Użytkownicy.
  3. Wybierz pozycję Melva Prince.
  4. U góry wybierz pozycję Edytuj.
  5. W obszarze menedżera wybierz Zmień i wybierz Britta Simon.
  6. W górnej części wybierz pozycję Zapisz.
  7. Wróć do użytkowników i wybierz użytkownika Britta Simon.
  8. U góry wybierz pozycję Edytuj.
  9. W obszarze Adres e-mail wprowadź prawidłowy adres e-mail.
  10. Wybierz pozycję Zapisz.

Edytowanie daty zatrudnienia pracownika

Atrybut employeeHireDate jest nowy dla identyfikatora Entra firmy Microsoft. Nie jest on uwidaczniany za pośrednictwem interfejsu użytkownika i musi zostać zaktualizowany przy użyciu programu Graph. Aby edytować ten atrybut, możemy użyć Eksploratora programu Graph.

Uwaga

Należy pamiętać, że przepływ pracy nie będzie wyzwalany, gdy data zatrudnienia pracownika (dni od zdarzenia) jest wcześniejsza niż data utworzenia przepływu pracy. Należy ustawić element employeeHireDate w przyszłości zgodnie z projektem. Daty używane w tym samouczku to moment uchwycony w czasie. W związku z tym należy odpowiednio zmienić daty, aby uwzględnić je w tej sytuacji.

Aby to zrobić, musimy uzyskać identyfikator obiektu dla naszego użytkownika Melva Prince.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.

  2. Przejdź do >Entra ID>Użytkownicy.

  3. Wybierz pozycję Melva Prince.

  4. Wybierz znak kopiowania obok identyfikatora obiektu.

  5. Teraz przejdź do Eksploratora programu Graph.

  6. Zaloguj się do Eksploratora Graph przy użyciu konta Administratora Globalnego dla swojej dzierżawy.

  7. W górnej części zmień pozycję GET na PATCH i dodaj https://graph.microsoft.com/v1.0/users/<id> do pola . Zastąp wartość <id> skopiowaną wcześniej.

  8. Skopiuj następujące elementy do treści żądania i wybierz pozycję Uruchom zapytanie

    {
"employeeHireDate": "2022-04-15T22:10:00Z"
}

    Zrzut ekranu przedstawiający plik PATCH employeeHireDate.

  9. Sprawdź zmianę, przywracając PATCH do GET i v1.0 do beta. Wybierz Uruchom zapytanie. Powinieneś zobaczyć atrybuty zestawu Melva.
    Zrzut ekranu przedstawiający plik GET employeeHireDate.

Edytowanie atrybutu menedżera na koncie pracownika

Atrybut menedżera jest używany do zadań powiadomień e-mail. Wysłanie do kierownika wiadomości e-mail z tymczasowym hasłem dla nowego pracownika. Wykonaj poniższe kroki, aby upewnić się, że użytkownicy firmy Microsoft Entra mają wartość atrybutu menedżera.

  1. Nadal w Eksploratorze programu Graph.

  2. Upewnij się, że górna część jest nadal ustawiona na PUT i https://graph.microsoft.com/v1.0/users/<id>/manager/$ref znajduje się w polu. Zmień <id> na identyfikator Melva Prince.

  3. Skopiuj następujący kod do treści żądania

  4. Zastąp <managerid> wartością ID Britty Simons w poniższym kodzie.

  5. Wybierz pozycję Uruchom zapytanie

    {
  "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
}

    Zrzut ekranu przedstawiający dodawanie menedżera w Eksploratorze programu Graph.

  6. Teraz możemy sprawdzić, czy menedżer jest poprawnie ustawiony, zmieniając put na GET.

  7. Upewnij się, że https://graph.microsoft.com/v1.0/users/<id>/manager/ znajduje się w polu . Nadal jest to własność Melvy Prince.

  8. Wybierz Uruchom zapytanie. Użytkownik Britta Simon powinien być widoczny w odpowiedzi.

    Zrzut ekranu przedstawiający pobieranie menedżera w Eksploratorze programu Graph.

Aby uzyskać więcej informacji na temat aktualizowania informacji o menedżerze dla użytkownika w interfejsie API programu Graph, zobacz dokumentację przypisywania menedżera . Ten atrybut można również ustawić w centrum administracyjnym platformy Azure. Aby uzyskać więcej informacji, zobacz Dodawanie lub zmienianie informacji o profilu.

Włączanie tymczasowej przepustki dostępu (TAP)

Tymczasowa przepustka dostępu to przepustka o ograniczonym terminie ważności wydawana przez administratora, która spełnia wymogi silnego uwierzytelniania.

W tym scenariuszu używamy tej funkcji Microsoft Entra ID do wygenerowania tymczasowego kodu dostępu dla naszego nowego pracownika. Jest wysyłany pocztą do przełożonego pracownika.

Aby korzystać z tej funkcji, należy ją włączyć w naszej dzierżawie usługi Microsoft Entra. Aby włączyć tę funkcję, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
  2. Przejdź do Entra ID>Metody uwierzytelniania>Tymczasowy identyfikator dostępu
  3. Wybierz pozycję Tak, aby włączyć zasady, a następnie dodaj Brittę Simon oraz wybierz użytkowników, do których mają być zastosowane zasady, oraz ustawienia Ogólne.

Zagadnienia dotyczące scenariusza odejścia pracownika

Istnieje dodatkowy krok, który należy wziąć pod uwagę podczas testowania samouczków dotyczących offboardingu użytkowników z organizacji przy użyciu przepływów pracy cyklu życia w centrum administracyjnym Microsoft Entra lub przy użyciu Microsoft Graph.

Ustawienie użytkownika z grupami i zespołami z członkostwem w zespole

Użytkownik posiadający członkostwo w grupach i w usłudze Teams jest wymagany przed rozpoczęciem samouczków dotyczących scenariusza odejścia z organizacji.

Następne kroki

  • Last updated on