Compartilhar via

** Configurar o Workday para provisionamento automático de usuários com Microsoft Entra ID

O objetivo deste artigo é mostrar as etapas que você precisa executar para provisionar perfis de trabalho do Workday para o AD (Active Directory) local.

Observação

Use este artigo, se você precisar provisionar usuários do Workday que precisam ter uma conta de AD local e uma conta do Microsoft Entra.

O vídeo a seguir fornece uma rápida visão geral das etapas envolvidas ao planejar sua integração de provisionamento com o Workday.

Visão geral

O serviço de provisionamento de usuários do Microsoft Entra integra-se à API de Recursos Humanos do Workday para provisionar contas de usuário. Os fluxos de trabalho de provisionamento de usuários do Workday com suporte pelo serviço de provisionamento de usuários Microsoft Entra habilitam a automação dos seguintes cenários de recursos humanos e gerenciamento do ciclo de vida da identidade:

  • Contratação de novos funcionários – quando um novo funcionário é adicionado ao Workday, uma conta de usuário é criada automaticamente no Active Directory, no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com a ID do Microsoft Entra, com write-back de informações de contato gerenciadas por TI no Workday.

  • Atualizações de perfil e atributo de funcionário – quando um registro de funcionário é atualizado no Workday (como seu nome, título ou gerente), sua conta de usuário é atualizada automaticamente no Active Directory, no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com o Microsoft Entra ID.

  • Terminações de funcionários – quando um funcionário é encerrado no Workday, sua conta de usuário é desabilitada automaticamente no Active Directory, na ID do Microsoft Entra e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com a ID do Microsoft Entra.

  • Recontratação de Funcionários - Quando um funcionário é recontratado no Workday, sua conta antiga pode ser automaticamente reativada ou reconfigurada (dependendo de sua preferência) para o Active Directory, o Microsoft Entra ID e, opcionalmente, o Microsoft 365 e outros aplicativos SaaS compatíveis com o Microsoft Entra ID.

Novidades

Esta seção captura os aprimoramentos recentes de integração do Workday. Para obter uma lista de atualizações abrangentes, alterações planejadas e arquivos, visite o que há de novo na ID do Microsoft Entra?

  • Outubro de 2020 – Provisionamento habilitado sob demanda para o Workday: Usando o provisionamento sob demanda, agora você pode testar o provisionamento de ponta a ponta para um perfil de usuário específico no Workday para verificar o mapeamento de atributo e a lógica de expressão.

  • Maio de 2020 – Capacidade de fazer write-back de números de telefone no Workday: além de emails e nomes de usuário, agora você pode fazer write-back de números de telefone comerciais e de telefone celular do Microsoft Entra ID para o Workday. Para obter mais detalhes, consulte o tutorial do aplicativo de write-back.

  • Abril de 2020 – Suporte para a versão mais recente da API do Workday Web Services (WWS): Duas vezes por ano em março e setembro, o Workday oferece atualizações ricas em recursos que ajudam você a cumprir suas metas de negócios e alterar as demandas da força de trabalho. Para acompanhar os novos recursos fornecidos pelo Workday, é possível especificar diretamente a versão da API do WWS que deseja usar na URL de conexão. Para obter detalhes sobre como especificar a versão da API do Workday, consulte a seção sobre como configurar a conectividade do Workday.

Para quem é mais recomendada essa solução de provisionamento de usuário?

Essa solução de provisionamento de usuário do Workday é ideal para:

  • Organizações que desejam uma solução predefinida, baseados em nuvem para o provisionamento de usuário do Workday

  • Organizações que precisam de provisionamento de usuário direto do Workday para o Active Directory ou Microsoft Entra ID

  • Organizações que exigem que os usuários sejam provisionados usando dados obtidos do módulo HCM do Workday (consulte Get_Workers)

  • Organizações que exigem adição, transferência e remoção de usuários para sincronizar com uma ou mais Florestas, Domínios e Unidades Organizacionais do Active Directory com base apenas em uma alteração detectada no módulo HCM do Workday (consulte Get_Workers)

  • Organizações que usam o Microsoft 365 para email

Arquitetura da solução

Esta seção descreve a arquitetura da solução de provisionamento do usuário de ponta a ponta para ambientes híbridos comuns. Há dois fluxos relacionados:

  • Fluxo de dados de RH autoritativo – do Workday para o Active Directory local: Nesse fluxo, eventos de trabalho como Novas Contratações, Transferências, Terminações primeiro ocorrem no locatário de RH do Workday na nuvem e, em seguida, os dados do evento fluem para o Active Directory local por meio da ID do Microsoft Entra e do Agente de Provisionamento. Dependendo do evento, pode levar a operações de criar/atualizar/habilitar/desabilitar no AD.
  • Fluxo de write-back – do Active Directory local para o Workday: após a criação da conta no Active Directory, ela será sincronizada com o Microsoft Entra ID por meio do Microsoft Entra Connect. Dessa forma, informações como email, nome de usuário e número de telefone poderão ser gravadas novamente no Workday.

Diagrama conceitual de visão geral.

Fluxo de dados do usuário de ponta a ponta

  1. A equipe de RH realiza transações de trabalho (acréscimos/movimentações/saídas ou novas contratações/transferências/desligamentos) no HCM do Workday
  2. O serviço de provisionamento do Microsoft Entra executa sincronizações agendadas de identidades do Workday HR e identifica as alterações que precisam ser processadas para sincronização com o Active Directory local.
  3. O serviço de provisionamento do Microsoft Entra invoca o agente de provisionamento do Microsoft Entra Connect com um payload de solicitação que contém operações de criação/atualização/habilitação/desabilitação da conta do AD.
  4. O agente de provisionamento do Microsoft Entra Connect usa uma conta de serviço para adicionar dados da conta do AD.
  5. O mecanismo de sincronização do Microsoft Entra Connect/AD Sync executa uma sincronização delta para efetuar pull das atualizações no AD.
  6. As atualizações do Active Directory são sincronizadas com o Microsoft Entra ID.
  7. Se o aplicativo Workday Writeback estiver configurado, ele registra atributos como e-mail, nome de usuário e número de telefone no Workday.

Planejamento da implantação

A configuração do Workday para o provisionamento de usuário do Active Directory exige um planejamento considerável que abranja diferentes aspectos, como:

  • Configuração do agente de provisionamento do Microsoft Entra Connect
  • Número de aplicativos de provisionamento de usuário do Workday para o AD a serem implantados
  • Selecionar o identificador, mapeamento de atributos, filtros de escopo e transformação correspondentes corretos

Consulte o plano de implantação de RH na nuvem para obter diretrizes abrangentes e práticas recomendadas.

Configurar o usuário do sistema de integração no Workday

Um requisito comum de todos os conectores de provisionamento do Workday é que eles exigem credenciais de um usuário do sistema de integração do Workday para conectar-se à API de Recursos Humanos do Workday. Esta seção descreve como criar um usuário do sistema de integração no Workday e possui as seguintes seções:

Observação

É possível ignorar esse procedimento e utilizar uma conta Administrador do Workday como a conta de integração do sistema. Esse processo pode funcionar aparentemente bem para demonstrações, mas não é recomendável para implementações de produção.

Criação de um usuário do sistema de integração

Para criar um usuário do sistema de integração:

  1. Entre no seu locatário do Workday usando uma conta de administrador. No Aplicativo Workday, insira criar usuário na caixa de pesquisa e clique em Criar Usuário do Sistema de Integração.

    Captura de tela da criação de usuário.

  2. Conclua a tarefa Criar Usuário do Sistema de Integração fornecendo um nome de usuário e uma senha para um novo Usuário do Sistema de Integração.

    • Deixe a opção Exigir Nova Senha na Próxima Entrada desmarcada, pois esse usuário está fazendo logon programaticamente.
    • Deixe os Minutos de Tempo Limite de Sessão com seu valor padrão de 0, o que impede que as sessões do usuário expirem prematuramente.
    • Selecione a opção Não Permitir Sessões de Interface do Usuário , pois ela fornece uma camada adicional de segurança que impede que um usuário com a senha do sistema de integração faça logon no Workday.

    Captura de tela de Criar Usuário do Sistema de Integração.

Criar um grupo de segurança de integração

Nesta etapa, você criará um Grupo de segurança do sistema de integração irrestrito ou restrito no Workday e atribuirá o usuário do sistema de integração criado na etapa anterior a esse grupo.

Para criar um grupo de segurança:

  1. Insira criar grupo de segurança na caixa de pesquisa e clique em Criar Grupo de Segurança.

    Captura de tela que mostra

  2. Conclua a tarefa Criar Grupo de Segurança .

    • Há dois tipos de grupos de segurança no Workday:

      • Irrestrita: Todos os membros do grupo de segurança podem acessar todas as instâncias de dados protegidas pelo grupo de segurança.
      • Restrita: Todos os membros do grupo de segurança têm acesso contextual a um subconjunto de instâncias de dados (linhas) que o grupo de segurança pode acessar.

    • Entre em contato com seu parceiro de integração do Workday para selecionar o tipo de grupo de segurança adequado para a integração.

    • Depois de conhecer o tipo de grupo, selecione Grupo de Segurança do Sistema de Integração (Não Restrito) ou Grupo de Segurança do Sistema de Integração (Restrito) na lista suspensa Tipo de Grupo de Segurança Alugado.

      Captura de tela do Grupo CreateSecurity.

  3. Após a criação bem-sucedida do Grupo de segurança, você visualizará uma página na qual pode atribuir membros ao Grupo de segurança. Adicione o novo usuário do sistema de integração criado na etapa anterior a esse grupo de segurança. Se você estiver usando um grupo de segurança restrito , precisará selecionar o escopo da organização apropriado.

    Captura de tela de Editar Grupo de Segurança.

Configurar permissões de política de segurança do domínio

Nesta etapa, você concederá permissões de política de segurança de domínio para os dados de trabalho ao grupo de segurança.

Para configurar permissões de política de segurança de domínio:

  1. Insira Associação de Grupo de Segurança e de Acesso na caixa de pesquisa e clique no link de relatório.

    Captura de tela de Pesquisar associação ao grupo de segurança.

  2. Pesquise e selecione o grupo de segurança que você criou na etapa anterior.

    Captura de tela de Selecionar Grupo de Segurança.

  3. Clique nas reticências (...) ao lado do nome do grupo e, no menu, selecione Grupo de Segurança > Manter Permissões de Domínio para o Grupo de Segurança

    Captura de tela de Selecionar Manter Permissões de Domínio.

  4. Em Permissões de Integração, adicione os domínios a seguir à lista políticas de segurança de domínio que permitem o acesso put

    • Provisionamento de conta externa
    • Dados do Trabalho: Relatórios de Funcionários Públicos
    • Dados da pessoa: Informações de contato de trabalho (necessárias se você planeja atualizar dados de contato do Microsoft Entra ID para o Workday)
    • Contas do Workday (necessárias se você planeja fazer write-back de nome de usuário/UPN do Microsoft Entra ID para o Workday)

  5. Em Permissões de Integração, adicione os domínios a seguir à lista políticas de segurança de domínio que permitem obter acesso

    • Dados do Trabalho: Trabalhadores
    • Dados do trabalho: todas as posições
    • Dados do Trabalho: Informações atuais de pessoal
    • Dados do Trabalho: Título comercial no perfil de trabalho
    • Dados do Trabalho: Trabalhadores Qualificados (Opcional – adicione-os para recuperar dados de qualificação do trabalhador para provisionamento)
    • Dados do trabalho: habilidades e experiência (opcional – adicione-os para recuperar dados de habilidades de trabalho para provisionamento)

  6. Após a conclusão das etapas acima, a tela permissões será exibida como mostrado abaixo:

    Captura de tela de Todas as Permissões de Segurança de Domínio.

  7. Clique em OK e Concluído na próxima tela para concluir a configuração.

Configurar permissões da política de segurança de processo empresarial

Nesta etapa, você concederá permissões de política de “segurança de processo empresarial” para os dados de trabalho ao grupo de segurança.

Observação

Esta etapa só é necessária para configurar o conector de aplicativos de Write-back do Workday.

Para configurar permissões de política de segurança do processo empresarial:

  1. Insira a Política de Processo Empresarial na caixa de pesquisa e clique no link Editar Tarefa política de segurança do processo empresarial.

    Captura de tela que mostra

  2. Na caixa de texto Tipo de Processo Empresarial , pesquise contato e selecione o processo comercial de Alteração de Contato de Trabalho e clique em OK.

    Captura de tela que mostra a página

  3. Na página Editar Política de Segurança do Processo Empresarial , role até a seção Alterar Informações de Contato do Trabalho (Serviço Web ).

  4. Selecione e adicione o novo grupo de segurança do sistema de integração à lista de grupos de segurança que podem iniciar a solicitação de serviços Web.

    Captura de tela das políticas de segurança do processo empresarial.

  5. Clique em Concluído.

Ativando alterações de política de segurança

Para ativar as alterações de política de segurança:

  1. Insira ativar na caixa de pesquisa e clique no link Ativar Alterações pendentes de política de segurança.

    Captura de tela de Ativar.

  2. Inicie a tarefa Ativar Alterações de Política de Segurança Pendentes inserindo um comentário para fins de auditoria e clique em OK.

  3. Conclua a tarefa na próxima tela marcando a caixa de seleção Confirmar e clique em OK.

    Captura de tela de Ativar a Segurança Pendente.

Pré-requisitos de instalação do agente de provisionamento

Examine os pré-requisitos de instalação do agente de provisionamento antes de prosseguir para a próxima seção.

Configurando o provisionamento de usuário do Workday para o Active Directory

Esta seção fornece as etapas para o provisionamento de conta do usuário do Workday para cada domínio do Active Directory no escopo de sua integração.

Parte 1: Adicionar o aplicativo do conector de provisionamento e baixar o Agente de Provisionamento

Para configurar o provisionamento do Workday para o Active Directory:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

  2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.

  3. Pesquise Provisionamento de Usuário do Workday para o Active Directory e adicione esse aplicativo por meio da galeria.

  4. Depois que o aplicativo for adicionado e a tela de detalhes do aplicativo for mostrada, selecione Provisionamento.

  5. Altere o modode provisionamento para Automático.

  6. Clique na faixa de informações exibida para baixar o Agente de Provisionamento.

    Captura de tela do Agente de Download.

Parte 2: Instalar e configurar Agentes de Provisionamento local

Para provisionar no Active Directory local, o agente de Provisionamento deverá ser instalado em um servidor conectado ao domínio que tenha acesso à rede para os domínios do Active Directory desejados.

Transfira o instalador do agente baixado para o host do servidor e siga as etapas listadas na seção Instalar agente para concluir a configuração do agente.

Parte 3: No aplicativo de provisionamento, configure a conectividade com o Workday e o Active Directory

Nesta etapa, você estabelece a conectividade com o Workday e o Active Directory.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

  2. Navegue até Entra ID>Aplicativos empresariais> Workday para Aplicativo de Provisionamento de Usuários do Active Directory criado na Parte 1.

  3. Conclua a seção Credenciais de Administrador da seguinte maneira:

    • Nome de usuário do Workday – Insira o nome de usuário da conta do sistema de integração do Workday, com o nome de domínio do locatário acrescentado. Deve ser algo parecido com: username@tenant_name

    • Senha do workday – Insira a senha da conta do sistema de integração do Workday

    • URL da API de Serviços Web do Workday – insira a URL para o ponto de extremidade dos serviços Web do Workday do seu locatário. A URL determina a versão da API do Workday Web Services usada pelo conector.

      Formato de URL Versão usada da API do WWS Alterações necessárias em XPATH
      https://####.workday.com/ccx/service/tenantName v21.1 Não
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 Não
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.# Sim

      Observação

      Se nenhuma informação de versão for especificada na URL, o aplicativo usará o WWS (Workday Web Services) v21.1 e nenhuma alteração será necessária para as expressões padrão da API XPATH enviadas com o aplicativo. Para usar uma versão específica da API do WWS, especifique o número de versão na URL
      Exemplo: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Se você estiver usando uma API WWS v30.0+, antes de ativar o trabalho de provisionamento, atualize as expressões da API XPATH em Mapeamento de Atributos –> Opções Avançadas –> Editar lista de atributos do Workday , referindo-se à seção Gerenciando sua configuração e referência de atributo do Workday.

    • Floresta do Active Directory – o "Nome" de seu domínio do Active Directory, conforme registrado com o agente. Use a lista suspensa para selecionar o domínio de destino para o provisionamento. Esse valor normalmente é uma cadeia de caracteres como: contoso.com

    • Contêiner do Active Directory – Insira o DN do contêiner em que o agente deve criar contas de usuário por padrão. Exemplo: UO= Usuários Padrão,UO=Usuários,DC=contoso,DC=teste

      Observação

      Essa configuração só entrará em jogo para criações de conta de usuário se o atributo parentDistinguishedName não estiver configurado nos mapeamentos de atributo. Essa configuração não é usada para as operações de atualização e a pesquisa de usuários. A subárvore de todo o domínio se enquadra no escopo da operação de pesquisa.

    • Email de notificação – Insira seu endereço de email e marque a caixa de seleção "enviar email se ocorrer falha".

      Observação

      O serviço de provisionamento do Microsoft Entra enviará notificações por email se o trabalho de provisionamento entrar em estado de quarentena.

    • Clique no botão Testar Conexão . Se o teste de conexão for bem-sucedido, clique no botão Salvar na parte superior. Se ele falhar, verifique se as credenciais do Workday e as credenciais do AD configuradas na instalação de agente são válidas.

    • Depois que as credenciais são salvas com êxito, a seção Mapeamentos exibe o mapeamento padrão Sincronizar Funcionários do Workday com o Active Directory Local

Parte 4: Configurar mapeamentos de atributos

Nesta seção, você configura o fluxo de dados de usuário do Workday para o Active Directory.

  1. Na guia Provisionamento, em Mapeamentos, clique em Sincronizar trabalhadores do Workday com o Active Directory local.

  2. No campo Escopo do Objeto de Origem , você pode selecionar quais conjuntos de usuários no Workday devem estar no escopo do provisionamento para o AD, definindo um conjunto de filtros baseados em atributo. O escopo padrão é “todos os usuários no Workday”. Filtros de exemplo:

    • Exemplo: definir o escopo para usuários com IDs de trabalhador entre 1000000 e 2000000 (exceto 2000000)

      • Atributo: WorkerID

      • Operador: REGEX Match

      • Valor: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Exemplo: Apenas funcionários e trabalhadores não contingentes

      • Atributo: EmployeeID

      • Operador: não é NULL

    Dica

    Quando estiver configurando o aplicativo de provisionamento pela primeira vez, você precisará testar e verificar os mapeamentos de atributo e as expressões para verificar se ele está dando o resultado desejado. A Microsoft recomenda usar filtros de escopo no Escopo do Objeto de Origem e no provisionamento sob demanda para testar seus mapeamentos com alguns usuários de teste do Workday. Após ter verificado que os mapeamentos funcionam, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

    Atenção

    O comportamento padrão do mecanismo de provisionamento é desabilitar/excluir usuários fora do escopo. Isso pode não ser desejável em sua integração do Workday com o AD. Para substituir esse comportamento padrão, consulte o artigo Ignorar a exclusão de contas de usuário que saem do escopo

  3. No campo Ações de Objeto de Destino, você pode filtrar globalmente quais ações são executadas no Active Directory. Criar e atualizar são mais comuns.

  4. Na seção Mapeamentos de atributos , você pode definir como os atributos individuais do Workday são mapeados para atributos do Active Directory.

  5. Clique em um mapeamento de atributo existente para atualizá-lo ou clique em Adicionar novo mapeamento na parte inferior da tela para adicionar novos mapeamentos. Um mapeamento de atributo individual dá suporte para essas propriedades:

    • Tipo de mapeamento

      • Direct – Grava o valor do atributo Workday no atributo AD, sem alterações

      • Constante – Gravar um valor de cadeia de caracteres estático e constante no atributo AD

      • Expressão – Permite que você escreva um valor personalizado no atributo AD, com base em um ou mais atributos do Workday. Para obter mais informações, consulte este artigo sobre expressões.

    • Atributo de origem – O atributo de usuário do Workday. Se o atributo que você está procurando não estiver presente, consulte Personalizando a lista de atributos de usuário do Workday.

    • Valor padrão – opcional. Caso o atributo de origem tenha um valor vazio, o mapeamento irá gravar esse valor. A configuração mais comum é deixar em branco.

    • Atributo de destino – o atributo de usuário no Active Directory.

    • Correlacionar objetos usando esse atributo – se esse mapeamento deverá ou não ser utilizado para identificar de forma exclusiva os usuários do Workday e do Active Directory. Normalmente, esse valor é definido no campo ID do trabalhador do Workday, que é geralmente mapeado para um dos atributos de ID do funcionário no Active Directory.

    • Precedência correspondente – vários atributos correspondentes podem ser definidos. Quando houver vários, os atributos serão avaliados na ordem definida por esse campo. Assim que uma correspondência for encontrada, mais nenhum atributo correspondente será avaliado.

    • Aplicar este mapeamento

      • Always – Aplicar esse mapeamento em ações de criação e atualização do usuário

      • Somente durante a criação – Aplicar esse mapeamento somente em ações de criação do usuário

  6. Para salvar seus mapeamentos, clique em Salvar na parte superior da seção Attribute-Mapping.

    Captura de tela que mostra a página

A seguir, estão alguns exemplos de mapeamentos de atributos entre o Workday e o Active Directory, com algumas expressões comuns

  • A expressão que mapeia para o atributo parentDistinguishedName é utilizada para provisionar um usuário para OUs diferentes baseado em um ou mais atributos de origem do Workday. O exemplo coloca os usuários em OUs diferentes com base na cidade que eles estão.

  • O atributo userPrincipalName no Active Directory é gerado usando a função de eliminação de duplicação SelectUniqueValue que verifica a existência de um valor gerado no domínio do AD de destino e só o define se for exclusivo.

  • há documentação sobre como escrever expressões aqui. Esta seção inclui exemplos sobre como remover caracteres especiais.

ATRIBUTO DO WORKDAY ATRIBUTO DO ACTIVE DIRECTORY ID DE CORRESPONDÊNCIA? CRIAR / ATUALIZAR
WorkerID ID do Funcionário Sim Gravado na criação somente
PreferredNameData cn Gravado na criação somente
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com")) Nome Principal do Usuário Gravado na criação somente
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) sAMAccountName Gravado na criação somente
Switch([Active], , "0", "Verdadeiro", "1", "Falso") accountDisabled Criar + atualizar
FirstName givenName Criar + atualizar
LastName sn Criar + atualizar
PreferredNameData displayName Criar + atualizar
Companhia empresa Criar + atualizar
OrganizaçãoSupervisora department Criar + atualizar
ManagerReference gerente Criar + atualizar
BusinessTitle título Criar + atualizar
DadosDaLinhaDeEndereço streetAddress Criar + atualizar
Município l Criar + atualizar
CountryReferenceTwoLetter co Criar + atualizar
CountryReferenceTwoLetter c Criar + atualizar
CountryRegionReference st Criar + atualizar
WorkSpaceReference nomeDoEscritórioDeEntregaFísica Criar + atualizar
PostalCode código postal Criar + atualizar
PrimaryWorkTelephone número de telefone Criar + atualizar
Fax facsimileTelephoneNumber Criar + atualizar
Telemóvel Serviço Móvel Criar + atualizar
LocalReference idiomaPreferido Criar + atualizar
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") parentDistinguishedName Criar + atualizar

Depois que a configuração de mapeamento de atributo for concluída, você poderá testar o provisionamento para um único usuário usando o provisionamento sob demanda e, em seguida, habilitar e iniciar o serviço de provisionamento de usuário.

Habilitar e iniciar o provisionamento de usuário

Depois que as configurações do aplicativo de provisionamento do Workday tiverem sido concluídas e você tiver verificado o provisionamento para um único usuário com provisionamento sob demanda, você poderá ativar o serviço de provisionamento.

Dica

Por padrão, quando você ativa o serviço de provisionamento, ele inicia as operações de provisionamento para todos os usuários no escopo. Se houver erros em problemas de dados de mapeamento ou Workday, o trabalho de provisionamento pode falhar e prosseguir para o estado de quarentena. Para evitar isso, como prática recomendada, recomendamos configurar o filtro escopo do objeto de origem e testar seus mapeamentos de atributo com alguns usuários de teste usando o provisionamento sob demanda antes de iniciar a sincronização completa para todos os usuários. Após ter verificado que os mapeamentos funcionam e estão fornecendo os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

  1. Vá para a folha Provisionamento e clique em Iniciar provisionamento.

  2. Essa operação inicia a sincronização inicial, o que poderá demorar algumas horas dependendo de quantos usuários estiverem no locatário do Workday. Verifique a barra de progresso para acompanhar o progresso do ciclo de sincronização.

  3. A qualquer momento, verifique a guia Provisionamento no Centro de administração do Microsoft Entra para ver quais ações o serviço de provisionamento executou. Os logs de provisionamento listam todos os eventos de sincronização individuais realizados pelo serviço de provisionamento, tais como aqueles em que os usuários estão sendo lidos do Workday e, posteriormente adicionados ou atualizados no Active Directory. Consulte a seção Solução de problemas para obter instruções sobre como examinar os logs de provisionamento e corrigir erros de provisionamento.

  4. Depois que a sincronização inicial for concluída, ela gravará um relatório de resumo de auditoria na guia Provisionamento , conforme mostrado abaixo.

    Captura de tela da Barra de progresso do provisionamento

Perguntas Frequentes (FAQ)

Perguntas do recurso de solução

Ao processar uma nova contratação do Workday, como a solução define a senha para a nova conta de usuário no Active Directory?

Quando o agente de provisionamento local obtém uma solicitação para criar uma nova conta do AD, ele automaticamente gera uma senha aleatória complexa, projetada para atender aos requisitos de complexidade de senha definidos pelo servidor do AD e define isso no objeto do usuário. Essa senha não fica registrada em nenhum lugar.

A solução dá suporte a envio de notificações por email após a conclusão de operações de provisionamento?

Não, não existe suporte para enviar notificações por email após a conclusão de operações de provisionamento na versão atual.

A solução armazena em cache os perfis de usuário do Workday na nuvem do Microsoft Entra ou na camada de agente de provisionamento?

Não, a solução não mantém um cache de perfis de usuário. O serviço de provisionamento do Microsoft Entra simplesmente atua como um processador de dados, lendo dados do Workday e gravando no Active Directory ou Microsoft Entra ID de destino. Consulte a seção Gerenciando dados pessoais para obter detalhes relacionados à privacidade do usuário e à retenção de dados.

A atribuição dá suporte a atribuição de grupos locais do AD para o usuário?

Não existe suporte para essa funcionalidade no momento. A solução alternativa recomendada é implantar um script do PowerShell que consulta o ponto de extremidade da API do Microsoft Graph para obter dados de log de provisionamento e usá-los para acionar cenários, como a atribuição de grupo. Este script do PowerShell pode ser anexado a um agendador de tarefas e pode ser implantado na mesma caixa que executa o agente de provisionamento.

Quais APIs do Workday a solução utiliza para consultar e atualizar perfis de trabalhadores do Workday?

Atualmente, a solução usa as seguintes APIs do Workday:

  • O formato de URL da API dos Serviços Web do Workday usado na seção Credenciais de Administrador determina a versão da API usada para Get_Workers

    • Se o formato da URL for https://####.workday.com/ccx/service/tenantName, a API v21.1 será usada.
    • Se o formato da URL for https://####.workday.com/ccx/service/tenantName/Human_Resources, a API v21.1 será usada
    • Se o formato da URL for https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#, a versão da API especificada será usada. (Exemplo: se a v34.0 for especificada, ela será a versão usada.)

  • O recurso de write-back de email do Workday usa Change_Work_Contact_Information (v30.0)

  • O recurso de write-back de nome de usuário do Workday usa Update_Workday_Account (v31.2)

Posso configurar o meu locatário de HCM do Workday com dois locatários do Microsoft Entra?

Sim, há suporte para essa configuração. Aqui estão as etapas de alto nível para configurar esse cenário:

  • Implante o agente de provisionamento nº 1 e registre-o no locatário do Microsoft Entra nº 1.
  • Implante o agente de provisionamento nº 2 e registre-o no locatário do Microsoft Entra nº 2.
  • Com base nos “Domínios filhos” que cada Agente de Provisionamento gerencia, configure cada agente com os domínios. Um agente pode lidar com vários domínios.
  • No centro de administração do Microsoft Entra, configure o Aplicativo de Provisionamento de Usuário do Workday para AD em cada locatário e configure-o com os respectivos domínios.

Seus comentários são muito importantes, pois eles nos ajudam a definir um direcionamento para as futuras versões e aprimoramentos. Damos as boas-vindas a todos os comentários e encorajamos você a enviar sua ideia ou sugestão de melhoria no fórum de comentários do Microsoft Entra ID. Para obter comentários específicos relacionados à integração do Workday, selecione a categoria Aplicativos SaaS e pesquise usando as palavras-chave Workday para encontrar comentários existentes relacionados ao Workday.

Captura de tela do UserVoice Workday.

Ao sugerir uma nova ideia, verifique para ver se alguém já sugeriu um recurso semelhante. Nesse caso, você pode votar na solicitação de recurso ou aprimoramento. Também é possível deixar um comentário sobre o seu caso de uso específico para mostrar seu apoio à ideia e demonstrar como o recurso é importante para você também.

Perguntas sobre o Agente de Provisionamento

O que é a versão de disponibilidade geral (GA) do Agente de Provisionamento?

Veja Agente de Provisionamento do Microsoft Entra Connect: histórico de lançamento de versões para obter a última versão GA do Agente de Provisionamento.

Como saber a versão do meu Agente de Provisionamento?

  1. Conecte-se ao servidor Windows no qual o Agente de Provisionamento está instalado.
  2. Vá para o menu Painel de Controle>Desinstalar ou Alterar um Programa.
  3. Procure a versão correspondente à entrada Microsoft Entra Connect Provisioning Agent.

A Microsoft envia por push automaticamente as atualizações do Agente de Provisionamento?

Sim, a Microsoft atualiza automaticamente o agente de provisionamento se o serviço Windows Microsoft Entra Connect Agent Updater estiver em execução.

Posso instalar o Agente de Provisionamento no mesmo servidor que executa o Microsoft Entra Connect?

Sim, você pode instalar o Agente de Provisionamento no mesmo servidor que executa o Microsoft Entra Connect.

No momento da configuração o Agente de Provisionamento solicita as credenciais de administrador do Microsoft Entra. O Agente armazena as credenciais localmente no servidor?

Durante a configuração o Agente de Provisionamento solicita as credenciais de administrador do Microsoft Entra somente para conectar o seu locatário do Microsoft Entra. Ele não armazena as credenciais localmente no servidor. No entanto, ele mantém as credenciais usadas para se conectar ao domínio local do Active Directory em um cofre de senhas local do Windows.

Como fazer para configurar o Agente de Provisionamento para usar um servidor proxy para comunicação HTTP de saída?

O Agente de Provisionamento dá suporte ao uso do proxy de saída. Você pode configurá-lo editando o arquivo de configuração do agente C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Adicione as seguintes linhas a ele, no final do arquivo pouco antes da marca de fechamento </configuration> . Substitua as variáveis [proxy-server] e [proxy-port] pelo nome do servidor proxy e pelos valores da porta.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Como garantir que o Agente de Provisionamento é capaz de se comunicar com o locatário do Microsoft Entra e que nenhum firewall está bloqueando as portas exigidas pelo agente?

Você também pode verificar se todas as portas necessárias estão abertas.

Um Agente de Provisionamento pode ser configurado para provisionar vários domínios do AD?

Sim, um Agente de Provisionamento pode ser configurado para lidar com vários domínios do AD, desde que o agente tenha metas claras para os respectivos controladores de domínio. A Microsoft recomenda configurar um grupo de 3 agentes de provisionamento servindo o mesmo conjunto de domínios do AD para garantir alta disponibilidade e fornecer suporte para failover.

Como cancelar o registro do domínio associado ao meu Agente de Provisionamento?

*, obtenha a ID do locatário do Microsoft Entra.

  • Conecte-se ao servidor Windows no qual o Agente de Provisionamento está em execução.

  • Abra o PowerShell como Administrador do Windows.

  • Altere o diretório que contém os scripts de registro e execute os comandos a seguir substituindo o parâmetro de [ID do locatário] pelo valor da ID do locatário.

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
Get-PublishedResources -TenantId "[tenant ID]"

  • Na lista de agentes que aparecem, copie o valor do campo id do recurso cujo resourceName seja igual ao nome do seu domínio AD.

  • Cole o valor de ID nesse comando e execute o comando no PowerShell.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"

  • Execute novamente o assistente de configuração do Agente.

  • Quaisquer outros agentes que foram atribuídos anteriormente a esse domínio precisam ser reconfigurados.

Como desinstalar o Agente de Provisionamento?

  • Conecte-se ao servidor Windows no qual o Agente de Provisionamento está instalado.
  • Ir para o Painel de Controle>Desinstalar ou Alterar um Programa
  • Desinstale os programas a seguir:
    • Agente de provisionamento do Microsoft Entra Connect
    • Atualizador do Agente do Microsoft Entra Connect
    • Pacote do Agente de Provisionamento do Microsoft Entra Connect

Perguntas sobre configuração e mapeamento de atributos do Workday para o AD

Como fazer backup ou exportar uma cópia funcional do meu esquema e mapeamento de atributos de provisionamento do Workday?

Você pode usar a API do Microsoft Graph para exportar sua configuração de Provisionamento de Usuário do Workday. Consulte as etapas na seção Exportando e importando sua configuração de mapeamento de atributo de provisionamento de usuário do Workday para obter detalhes.

Eu tenho atributos personalizados no Workday e no Active Directory. Como fazer para configurar a solução para trabalhar com os meus atributos personalizados?

A solução dá suporte a atributos personalizados do Workday e Active Directory. Para adicionar seus atributos personalizados ao esquema de mapeamento, abra a folha Mapeamento de Atributos e role para baixo para expandir a seção Mostrar opções avançadas.

Captura de tela da Lista de Atributos Editada.

Para adicionar seus atributos personalizados do Workday, selecione a opção Editar lista de atributos para o Workday e, para adicionar seus atributos personalizados do AD, selecione a opção Editar lista de atributos para o Active Directory Local.

Consulte também:

Como fazer para configurar a solução para atualizar somente os atributos no AD com base nas alterações do Workday e não criar novas contas do AD?

Essa configuração pode ser obtida definindo as Ações de Objeto de Destino na folha Mapeamentos de Atributo, conforme mostrado abaixo:

Captura de tela da ação Atualizar.

Marque a caixa de seleção “Atualizar” apenas para operações de atualização para o fluxo do Workday para o AD.

Posso configurar a foto do usuário do Workday para o Active Directory?

Atualmente, a solução não dá suporte à definição de atributos binários, como thumbnailPhoto e jpegPhoto no Active Directory.

  • Acesse a folha “Provisionamento” do Aplicativo de Provisionamento do Workday.

  • Clique em Mapeamentos de atributos

  • Em Mapeamentos, selecione Sincronizar Funcionários do Workday com o Active Directory Local (ou Sincronizar Funcionários do Workday com a ID do Microsoft Entra).

  • Na página de Mapeamentos de Atributos, role para baixo e marque a caixa “Mostrar opções avançadas”. Clique em Editar lista de atributos do Workday

  • Na folha que é aberta, localize o atributo “Móvel” e clique na linha para editar a Expressão da APICaptura de tela do GDPR móvel.

  • Substitua a Expressão de API pela nova expressão a seguir, que recupera o número móvel de trabalho somente se o "Sinalizador de Uso Público" estiver definido como "True" no Workday.

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone

  • Salve a Lista de Atributos.

  • Salve o Mapeamento de Atributos.

  • Limpe o estado atual e reinicie a sincronização completa.

Como fazer para formatar nomes de exibição no AD com base em atributos de país/departamento/cidade do usuário e manipular as variações regionais?

é um requisito comum configurar o atributo displayName no AD para que ele também forneça informações sobre o departamento e o país/região do usuário. Por exemplo, se John Smith trabalha no Departamento de Marketing nos EUA, talvez você queira que seu displayName apareça como Smith, John (Marketing-US).

Veja como você pode lidar com esses requisitos para construir CN ou displayName para incluir atributos como empresa, unidade de negócios, cidade ou país/região.

  • Cada atributo do Workday é recuperado usando uma expressão de API XPATH subjacente, que é configurável no Mapeamento de Atributos –> Seção Avançada –> Editar lista de atributos do Workday. Aqui está a expressão de API XPATH padrão para os atributos Workday PreferredFirstName, PreferredLastName, Company e SupervisoryOrganization .

    Atributo do Workday Expressão XPATH da API
    PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    Sobrenome Preferido wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    Empresa wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    Organização de Supervisão wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    Confirme com sua equipe do Workday se a expressão de API acima é válida para a sua configuração de locatário do Workday. Se necessário, você pode editá-los conforme descrito na seção Personalizando a lista de atributos de usuário do Workday.

  • Da mesma forma, as informações de país/região presentes no Workday são recuperadas usando o seguinte XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

    Há 5 atributos relacionados ao país/região que estão disponíveis na seção de lista de atributos do Workday.

    Atributo do Workday Expressão XPATH da API
    CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    Confirme com sua equipe do Workday se as expressões de API acima são válidas para a sua configuração de locatário do Workday. Se necessário, você pode editá-los conforme descrito na seção Personalizando a lista de atributos de usuário do Workday.

  • Para criar a expressão de mapeamento de atributos correta, identifique qual atributo do Workday representa “com autoridade” o primeiro nome, sobrenome, país/região e departamento do usuário. Digamos que os atributos sejam PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter e SupervisoryOrganization , respectivamente. Você pode usar isso para criar uma expressão para o atributo AD displayName da seguinte maneira para obter um nome de exibição como Smith, John (Marketing-US).

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))

    Depois de ter a expressão certa, edite a tabela Mapeamentos de Atributos e modifique o mapeamento de atributo displayName , conforme mostrado abaixo: Captura de tela do Mapeamento displayName.

  • Estendendo o exemplo acima, digamos que você gostaria de converter nomes de cidade provenientes do Workday em valores abreviados e, em seguida, usá-lo para criar nomes de exibição como Smith, John (CHI) ou Doe, Jane (NYC) e, em seguida, esse resultado pode ser obtido usando uma expressão Switch com o atributo Workday Municipality como a variável determinante.

    Switch
(
  [Municipality],
  Join(", ", [PreferredLastName], [PreferredFirstName]),  
       "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
       "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
       "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
)

    Consulte também:

Como usar SelectUniqueValue para gerar valores exclusivos para o atributo samAccountName?

Digamos que você queira gerar valores exclusivos para o atributo samAccountName usando uma combinação de atributos FirstName e LastName do Workday. A seguir está uma expressão com a qual você pode começar:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Como funciona a expressão acima: Se o usuário for John Smith, ela primeiro tenta gerar JSmith, se já existir JSmith, em seguida, ela gera JoSmith, se também já existir, ela gera JohSmith. A expressão também garante que o valor gerado atenda à restrição de comprimento e à restrição de caracteres especiais associada ao samAccountName.

Consulte também:

Como remover caracteres com diacríticos e convertê-los em letras normais do alfabeto em português?

Use a função NormalizeDiacritics para remover caracteres especiais no nome e sobrenome do usuário, ao construir o endereço de email ou o valor CN para o usuário.

Dicas de solução de problemas

Esta seção fornece diretrizes específicas sobre como solucionar problemas de provisionamento com a integração do Workday usando os logs de provisionamento do Microsoft Entra e os logs do Visualizador de Eventos do Windows Server. Ele se baseia nas etapas e conceitos genéricos de solução de problemas capturados no Tutorial: Relatórios sobre provisionamento automático de conta de usuário

Esta seção cobre os seguintes aspectos de solução de problemas:

Configurar o agente de provisionamento para emitir logs do Visualizador de Eventos

  1. Conecte-se ao Windows Server no qual o Agente de Provisionamento está implantado

  2. Interrompa o serviço Microsoft Entra Connect Provisioning Agent.

  3. Crie uma cópia do arquivo de configuração original: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

  4. Substitua a seção <system.diagnostics> existente pelo mostrado a seguir.

    • A configuração do ouvinte etw emite mensagens para os logs do Visualizador de Eventos
    • A configuração do ouvinte textWriterListener envia mensagens de rastreamento para o arquivo ProvAgentTrace.log. Remova as marcas de comentário das linhas relacionadas a textWriterListener apenas para solução de problemas avançada.
      <system.diagnostics>
      <sources>
      <source name="AAD Connect Provisioning Agent">
          <listeners>
          <add name="console"/>
          <add name="etw"/>
          <!-- <add name="textWriterListener"/> -->
          </listeners>
      </source>
      </sources>
      <sharedListeners>
      <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
      <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
          <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
      </add>
      <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
      </sharedListeners>
  </system.diagnostics>

  5. Inicie o serviço Microsoft Entra Connect Provisioning Agent.

Configurar o Visualizador de Eventos do Windows para solucionar problemas do agente

  1. Conecte-se ao Windows Server no qual o Agente de Provisionamento está implantado

  2. Abra o aplicativo da área de trabalho do Visualizador de Eventos do Windows Server .

  3. Selecione o Aplicativo de Logs > do Windows.

  4. Use a opção Filtrar Log Atual... para exibir todos os eventos registrados no Agente de Provisionamento do Microsoft Entra Connect de origem e excluir eventos com a ID de Evento "5", especificando o filtro "-5", conforme mostrado abaixo.

    Observação

    A ID de Evento 5 captura mensagens de inicialização do agente para o serviço de nuvem do Microsoft Entra e, portanto, isso é filtrado durante a análise dos arquivos de log.

    Captura de tela do Visualizador de Eventos do Windows.

  5. Clique em OK e classifique o modo de exibição de resultado pela coluna Data e Hora .

Configurar logs de provisionamento do centro de administração do Microsoft Entra para solução de problemas de serviço

  1. Inicie o centro de administração do Microsoft Entra e navegue até a seção Provisionamento do seu aplicativo de provisionamento do Workday.

  2. Utilize o botão Colunas na página de logs de provisionamento para exibir apenas as seguintes colunas na tela (Data, Atividade, Status, Motivo do Status). Essa configuração garante que você se concentre apenas nos dados que são relevantes para a solução de problemas.

    Captura de tela do Provisionamento de colunas de log.

  3. Use os parâmetros de consulta Destino e Intervalo de datas para filtrar a exibição.

    • Defina o parâmetro de consulta Target como o "ID do Trabalhador" ou "ID do Funcionário" do objeto de trabalhador do Workday.
    • Defina o Intervalo de Datas como um período de tempo apropriado durante o qual você deseja investigar se há erros ou problemas com o provisionamento.

    Captura de tela do Provisionamento de filtros de log.

Entender logs para operações de criação da conta de usuário do AD

Quando uma nova contratação no Workday é detectada (digamos, com a ID do Funcionário 21023), o serviço de provisionamento do Microsoft Entra tenta criar uma nova conta de usuário do AD para o trabalhador e, no processo, cria 4 registros de log de provisionamento, conforme descrito abaixo:

Captura de tela de Provisionamento de operações de criação de logs.

Quando você clica em qualquer um dos registros de log de provisionamento, a página Detalhes da Atividade é aberta. Veja o que a página Detalhes da Atividade exibe para cada tipo de registro de log.

  • Registro de importação do Workday: este registro de log exibe as informações do trabalhador obtidas do Workday. Use informações na seção Detalhes Adicionais do registro de log para solucionar problemas com a busca de dados do Workday. Um registro de exemplo é mostrado abaixo, junto com os ponteiros para interpretar cada campo.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record

  • Registro de importação do AD: este registro de log exibe informações da conta buscada no AD. Como durante a criação inicial do usuário não há nenhuma conta do AD, o Motivo do Status da Atividade indica que nenhuma conta com o valor do atributo de ID correspondente foi encontrada no Active Directory. Use informações na seção Detalhes Adicionais do registro de log para solucionar problemas com a busca de dados do Workday. Um registro de exemplo é mostrado abaixo, junto com os ponteiros para interpretar cada campo.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID

    Para localizar os registros de log do Agente de Provisionamento correspondentes a essa operação de importação do Active Directory, abra os logs do Visualizador de Eventos do Windows e use a opção de menu Localizar... para localizar entradas de log que contêm o valor do atributo ID de Associação/Propriedade de Junção (neste caso 21023).

    Captura de tela de Localizar.

    Procure a entrada com a ID de Evento = 9, que fornece o filtro de pesquisa do LDAP usado pelo agente para recuperar a conta do AD. Você pode verificar se esse é o filtro de pesquisa correto para recuperar entradas de usuário exclusivas.

    O registro que o segue imediatamente com ID de Evento = 2 captura o resultado da operação de pesquisa e se retornou algum resultado.

  • Registro de ação da regra de sincronização: esse registro exibe os resultados das regras de mapeamento de atributos e dos filtros de escopo configurados, juntamente com a ação de provisionamento que é tomada para processar o evento recebido do Workday. Use informações na seção Detalhes Adicionais do registro de log para solucionar problemas com a ação de sincronização. Um registro de exemplo é mostrado abaixo, junto com os ponteiros para interpretar cada campo.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
EventName : EntrySynchronizationAdd // Implies that the object is added
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday

    Se houver problemas com as expressões de mapeamento de atributos ou os dados de entrada do Workday apresentarem problemas (por exemplo: valor vazio ou nulo para os atributos necessários), você observará uma falha nesta fase com o ErrorCode fornecendo os detalhes da falha.

  • Registro de exportação do AD: esse registro de log exibe o resultado da operação de criação da conta do AD juntamente com os valores de atributo que foram definidos no processo. Use informações na seção Detalhes Adicionais do registro de log para solucionar problemas com a operação de criação da conta. Um registro de exemplo é mostrado abaixo, junto com os ponteiros para interpretar cada campo. Na seção "Detalhes adicionais", "EventName" é definido como "EntryExportAdd", "JoiningProperty" é definido como o valor do atributo de ID de Correspondência, o "SourceAnchor" é definido como o WorkdayID (WID) associado ao registro e "TargetAnchor" é definido como o valor do atributo "ObjectGuid" do AD do usuário recém-criado.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportAdd // Implies that object is created
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user

    Para encontrar registros de log do Agente de Provisionamento correspondentes a essa operação de exportação do AD, abra os logs do Visualizador de Eventos do Windows e use a opção de menu Encontrar... para encontrar as entradas de log que contêm o valor do atributo Propriedade de Junção/ID Correspondente (nesse caso, 21023).

    Procure por um registro HTTP POST correspondente ao timestamp da operação de exportação com ID do Evento = 2. Este registro contém os valores de atributo enviados pelo serviço de provisionamento para o agente de provisionamento.

    Captura de tela que mostra o registro 'HTTP POST' no log 'Agente de Provisionamento'.

    Imediatamente após o evento acima, deve haver outro evento que captura a resposta da operação de criação de conta do AD. Esse evento retorna o novo objectGuid criado no AD, e ele é definido como o atributo TargetAnchor no serviço de provisionamento.

    Captura de tela que mostra o log do 'Agente de Provisionamento' com o objectGuid criado no AD realçado.

Entender logs para operações de atualização do gerente

O atributo gerente é um atributo de referência no AD. O serviço de provisionamento não define o atributo gerente como parte da operação de criação de usuário. Em vez disso, o atributo do gerente é definido como parte de uma operação de atualização depois que a conta do AD é criada para o usuário. Expandindo o exemplo acima, digamos que uma nova contratação com a ID do Funcionário "21451" seja ativada no Workday e o gerente do novo contratado (21023) já tenha uma conta do AD. Nesse cenário, pesquisar os Logs de provisionamento para o usuário 21451 mostra 5 entradas.

Captura de tela da Atualização do Gerenciador.

Os 4 primeiros registros são aqueles que exploramos como parte da operação de criação do usuário. O quinto registro é a exportação associada à atualização do atributo de gerente. O registro de log exibe o resultado da operação de atualização do gerenciador de contas do AD, que é executada usando o atributo objectGuid do gerente.

// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Resolver erros comumente encontrados

Esta seção aborda os erros comuns com o provisionamento de usuário do Workday e como resolvê-los. Os erros são agrupados conforme indicado a seguir:

Erros do agente de provisionamento

# Cenário de erro Causas prováveis Resolução recomendada
1. Erro ao instalar o agente de provisionamento com mensagem de erro: Falha ao iniciar o Serviço 'Agente de Provisionamento do Microsoft Entra Connect' (AADConnectProvisioningAgent). Verifique se você tem privilégios suficientes para iniciar o sistema. Esse erro normalmente aparece se você estiver tentando instalar o agente de provisionamento em um controlador de domínio e a política de grupo impedir que o serviço seja iniciado. Você também verá esse erro se tiver uma versão anterior do agente em execução, mas não a tiver desinstalado antes de iniciar uma nova instalação. Instale o agente de provisionamento em um servidor que não seja um controlador de domínio. Certifique-se de que as versões anteriores do agente são desinstaladas antes de instalar o novo agente.
2 O "Agente de Provisionamento do Microsoft Entra Connect" do Serviço Windows está no estado Inicial e não alterna para o estado em execução . Como parte da instalação, o assistente do agente cria uma conta local (NT Service\AADConnectProvisioningAgent) no servidor e essa é a conta de logon usada para iniciar o serviço. Se uma política de segurança em seu servidor Windows impede as contas locais de executarem os serviços, você encontrará esse erro. Abra o console dos Serviços. Clique com o botão direito no serviço do Windows “Agente de Provisionamento do Microsoft Entra Connect” e, na guia Logon, especifique a conta de administrador de domínio para executar o serviço. Reinicie o serviço.
3. Ao configurar o agente de provisionamento com seu domínio do AD na etapa Conectar o Active Directory, o assistente leva muito tempo tentando carregar o esquema do AD e eventualmente expira. Esse erro normalmente aparece se o assistente não puder entrar em contato com o servidor de controlador de domínio do AD devido a problemas de firewall. Na tela do assistente do Conectar o Active Directory, ao fornecer as credenciais para seu domínio do AD, existe uma opção chamada Selecionar prioridade do controlador de domínio. Use esta opção para selecionar um controlador de domínio que esteja no mesmo site que o servidor do agente e certifique-se de que não há nenhuma regra de firewall bloqueando a comunicação.

Erros de conectividade

Se o serviço de provisionamento não conseguir se conectar ao Workday ou ao Active Directory, isso pode fazer com que o provisionamento entre em um estado de quarentena. Use a tabela abaixo para solucionar problemas de conectividade.

# Cenário de erro Causas prováveis Resolução recomendada
1. Ao clicar em Testar Conexão, você recebe a mensagem de erro: erro ao se conectar ao Active Directory. Verifique se o Agente de Provisionamento local está em execução e ele está configurado com o domínio correto do Active Directory. Esse erro geralmente mostra se o agente de provisionamento não está em execução ou se há um firewall bloqueando a comunicação entre o Microsoft Entra ID e o agente de provisionamento. Esse erro também ocorrerá se o domínio não estiver configurado no assistente do agente. Abra o console dos Serviços no servidor Windows para confirmar se o agente está em execução. Abra o assistente do agente de provisionamento e confirme se o domínio correto está registrado com o agente.
2 O trabalho de provisionamento entrará em um estado de quarentena nos finais de semana (Sex – Sáb). No caso, receberemos uma notificação por email para informar que há um erro de sincronização. Uma das causas comuns desse erro é o tempo de inatividade planejado do Workday. Se você estiver usando um locatário de implementação do Workday, considere que o Workday tem tempo de inatividade programado para seus locatários de implementação nos finais de semana (geralmente da noite da sexta-feira até a manhã de sábado) e que, durante esse período, os aplicativos de provisionamento do Workday talvez entrem em um estado de quarentena, já que possivelmente não conseguirão se conectar ao Workday. Eles voltam ao estado normal quando o locatário de implementação do Workday estiver online novamente. Em casos raros, você também poderá ver esse erro, se a senha do usuário do sistema de integração foi alterada devido à atualização do locatário ou se a conta estiver no estado bloqueado ou expirado. Verifique com seu parceiro de integração ou administrador do Workday para ver quando o agendamento do tempo de inatividade do Workday para ignorar mensagens de alerta durante o período de tempo de inatividade e confirmar a disponibilidade quando a instância do Workday estiver online novamente.

Erros de criação de conta de usuário do AD

# Cenário de erro Causas prováveis Resolução recomendada
1. Exportar falhas de operação no log de provisionamento com a mensagem Erro: OperationsError-SvcErr: ocorreu um erro de operação. Nenhuma referência superior foi configurada para o serviço de diretório. Portanto, o serviço de diretório não pode emitir referências a objetos fora desta floresta. Esse erro geralmente aparece se a UO do Contêiner do Active Directory não estiver definida corretamente ou se houver problemas com o Mapeamento de Expressão usado para parentDistinguishedName. Verifique se há erros de digitação no parâmetro UO do Contêiner do Active Directory . Se você estiver usando parentDistinguishedName no mapeamento de atributo, verifique se ele sempre é avaliado como um contêiner conhecido dentro do domínio do AD. Verifique o evento Exportar nos logs de provisionamento para ver o valor gerado.
2 Exportar falhas de operação no log de provisionamento com código de erro: SystemForCrossDomainIdentityManagementBadResponse e mensagem de Erro: ConstraintViolation-AtrErr: um valor na solicitação é inválido. Um valor para o atributo não estava no intervalo aceitável de valores. \nDetalhes do Erro: CONSTRAINT_ATT_TYPE - empresa. Embora esse erro seja específico para o atributo da empresa , você também poderá ver esse erro para outros atributos, como CN . Este erro aparece devido à restrição de esquema do AD imposta. Por padrão, os atributos como empresa e CN no AD têm um limite superior de 64 caracteres. Se o valor proveniente do Workday tiver mais que 64 caracteres, então você visualizará essa mensagem de erro. Verifique o evento Exportar nos logs de provisionamento para ver o valor do atributo relatado na mensagem de erro. Considere truncar o valor proveniente do Workday usando a função Mid ou alterar os mapeamentos para um atributo do AD que não tenha restrições de comprimento semelhantes.

Erros de atualização de conta de usuário do AD

Durante o processo de atualização de conta de usuário do AD, o serviço de provisionamento lê as informações do Workday e do AD, executa as regras de mapeamento de atributos e determina se é necessário realizar alguma alteração. Da mesma forma, um evento de atualização é acionado. Se ocorrer uma falha em qualquer uma dessas etapas, ela será registrada nos logs de provisionamento. Use a tabela abaixo para solucionar problemas comuns com erros de atualização.

# Cenário de erro Causas prováveis Resolução recomendada
1. Falhas na ação da regra de sincronização no log de provisionamento com a mensagem EventName = EntrySynchronizationError e ErrorCode = EndpointUnavailable. Esse erro aparecerá se o serviço de provisionamento não consegue recuperar os dados de perfil do usuário do Active Directory devido a um erro de processamento encontrado pelo agente de provisionamento local. Verifique os logs do Visualizador de Eventos do Agente de Provisionamento para eventos de erro que indicam problemas com a operação de leitura (Filtrar por ID de Evento 2).
2 O atributo de gerente no AD não será atualizado para determinados usuários no AD. A causa mais comum desse erro é o uso de regras de escopo e o gerente do usuário não fazer parte do escopo. Você também pode encontrar esse problema se o atributo de ID de correspondência do gerente (como, EmployeeID) não for encontrado no domínio do AD de destino ou não for definido com o valor correto. Revise o filtro de escopo e adicione o usuário gerente no escopo. Verifique o perfil de gerente no AD para certificar-se de que existe um valor para o atributo de ID de correspondência.

Gerenciar sua configuração

Esta seção descreve como você pode aproveitar, personalizar e gerenciar ainda mais sua configuração de provisionamento de usuário no Workday. Ela abrange os seguintes tópicos:

Personalizando a lista de atributos de usuário do Workday

O provisionamento de aplicativos do Workday para o Active Directory e o Microsoft Entra ID incluem uma lista padrão de atributos de usuário do Workday da qual você pode selecionar. Contudo, essas listas não são abrangentes. O Workday é compatível com centenas de possibilidades de atributos de usuário, que podem ser padrão ou exclusivos para seu locatário do Workday.

O serviço de provisionamento do Microsoft Entra dá suporte à capacidade de personalizar seu atributo do Workday ou sua lista para incluir qualquer atributo exposto na operação Get_Workers da API de Recursos Humanos.

Para fazer essa alteração, você deve usar o Workday Studio para extrair as expressões XPath que representam os atributos que deseja usar e adicioná-las à configuração de provisionamento usando o editor de atributos avançado.

Para recuperar uma expressão XPath para um atributo de usuário do Workday:

  1. Baixe e instale o Workday Studio. É necessário uma conta da comunidade do Workday para acessar o instalador.

  2. Baixe o arquivo WSDL Human_Resources do Workday específico para a versão da API do WWS que você planeja usar a partir do Diretório de Serviços Web do Workday

  3. Inicie o Workday Studio.

  4. Na barra de comandos, selecione a opção Workday > Test Web Service in Tester .

  5. Selecione Externo e selecione o arquivo WSDL Human_Resources baixado na etapa 2.

    Captura de tela que mostra o arquivo

  6. Defina o campo Local como https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, mas substituindo "IMPL-CC" pelo seu tipo de instância real e "TENANT" pelo nome real do locatário.

  7. Defina Operação como Get_Workers

  8. Clique no link de configuração pequeno abaixo dos painéis Solicitação/Resposta para definir suas credenciais do Workday. Verifique a Autenticação e, em seguida, insira o nome de usuário e a senha da sua conta do sistema de integração do Workday. Não deixe de formatar o nome de usuário como name@tenant e deixe a opção WS-Security UsernameToken selecionada. Captura de tela que mostra a guia

  9. Selecione OK.

  10. No painel Solicitação , cole no XML abaixo. Defina Employee_ID para a ID do funcionário de um usuário real em seu locatário do Workday. Defina wd:version para a versão do WWS que você planeja usar. Selecione um usuário que tenha o atributo que você deseja extrair preenchido.

    <?xml version="1.0" encoding="UTF-8"?>
<env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
  <env:Body>
    <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
      <wd:Request_References wd:Skip_Non_Existing_Instances="true">
        <wd:Worker_Reference>
          <wd:ID wd:type="Employee_ID">21008</wd:ID>
        </wd:Worker_Reference>
      </wd:Request_References>
      <wd:Response_Group>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
        <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
        <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
        <wd:Include_Organizations>true</wd:Include_Organizations>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
        <wd:Include_Photo>true</wd:Include_Photo>
        <wd:Include_User_Account>true</wd:Include_User_Account>
      <wd:Include_Roles>true</wd:Include_Roles>
      </wd:Response_Group>
    </wd:Get_Workers_Request>
  </env:Body>
</env:Envelope>

  11. Clique na Solicitação de Envio (seta verde) para executar o comando. Se tiver êxito, a resposta deverá aparecer no painel Resposta . Verifique a resposta para garantir que ela tenha os dados da ID de usuário que você inseriu e não um erro.

  12. Se tiver êxito, copie o XML do painel Resposta e salve-o como um arquivo XML.

  13. Na barra de comandos do Workday Studio, selecione Abrir Arquivo e abra o arquivo XML que você salvou. Esta ação abre o arquivo no editor XML do Workday Studio.

    Captura de tela de um arquivo X M L aberto no

  14. Na árvore de arquivos, navegue por /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker para encontrar os dados do seu usuário.

  15. Em wd: Trabalho, localize o atributo que você deseja adicionar e selecione-o.

  16. Copie a expressão XPath para o atributo que você selecionou no campo Caminho de Documento.

  17. Remova o prefixo /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ da expressão copiada.

  18. Se o último item na expressão copiada for um nó (exemplo: "/wd: Birth_Date"), então acrescente /text() no final da expressão. Isso não será necessário se o último item for um atributo (exemplo: "/@wd: type").

  19. O resultado deve ser algo como wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Esse valor é o que você copia e insere no Centro de administração do Microsoft Entra.

Para adicionar seu atributo de usuário do Workday personalizado à configuração de provisionamento:

  1. Inicie o centro de administração do Microsoft Entra e navegue até a seção Provisionamento do seu aplicativo de provisionamento do Workday, conforme descrito anteriormente neste tutorial.

  2. Defina o Status de Provisionamento como Desativado e selecione Salvar. Essa etapa ajuda a garantir que as alterações se tornem efetivas somente quando você estiver pronto.

  3. Em Mapeamentos, selecione Sincronizar Funcionários do Workday com o Active Directory Local (ou Sincronizar Funcionários do Workday com a ID do Microsoft Entra).

  4. Role até a parte inferior da próxima tela e selecione Mostrar opções avançadas.

  5. Selecione Editar lista de atributos para o Workday.

  6. Role até a parte inferior da lista de atributos, até o local em que estão os campos de entrada.

  7. Para Nome, insira um nome de exibição para seu atributo.

  8. Para Tipo, selecione o tipo que corresponde adequadamente ao seu atributo (Cadeia de caracteres é mais comum).

  9. Para expressão de API, insira a expressão XPath copiada do Workday Studio. Exemplo: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. Selecione Adicionar Atributo.

    Captura de tela do Workday Studio.

  11. Selecione Salvar acima e sim na caixa de diálogo. Feche a tela Mapeamento de Atributos, se ela ainda estiver aberta.

  12. De volta à guia Provisionamento principal, selecione Sincronizar Funcionários do Workday com o Active Directory Local (ou Sincronizar Funcionários com o ID do Microsoft Entra) novamente.

  13. Selecione Adicionar novo mapeamento.

  14. Seu novo atributo agora deve aparecer na lista de atributos de origem .

  15. Adicione um mapeamento para o novo atributo conforme desejado.

  16. Quando terminar, lembre-se de definir o Status de Provisionamento de volta como Ativado e salvar.

Exportar e importar sua configuração

Consulte o artigo Exportando e importando a configuração de provisionamento

Gerenciando dados pessoais

A solução de provisionamento do Workday para o Active Directory exige que um agente de sincronização seja instalado em um servidor local do Windows, e esse agente cria logs no log de eventos do Windows podendo conter dados pessoais dependendo dos seus mapeamentos de atributos do Workday para o AD. Para cumprir as obrigações de privacidade do usuário, você pode garantir que nenhum dado seja retido nos logs de eventos por mais de 48 horas, configurando uma tarefa agendada do Windows para limpar o log de eventos.

O serviço de provisionamento do Microsoft Entra se enquadra na categoria de processador de dados da classificação de RGPD. Como um pipeline de processador de dados, o serviço fornece serviços de processamento de dados para parceiros-chave e consumidores finais. O serviço de provisionamento do Microsoft Entra não gera dados de usuário e não tem controle independente em relação aos dados pessoais coletados e como eles são utilizados. A recuperação de dados, agregação, análise e relatórios no Microsoft Entra são baseados em dados empresariais existentes.

Observação

Para obter informações sobre como exibir ou excluir dados pessoais, examine as diretrizes da Microsoft sobre as solicitações de titulares de dados do Windows para o site do RGPD . Para obter informações gerais sobre o RGPD, consulte a seção GDPR da Central de Confiabilidade da Microsoft e a seção RGPD do portal de Confiança do Serviço.

Em relação à retenção de dados, o serviço de provisionamento do Microsoft Entra não gera relatórios, executa análise ou fornece informações por mais de 30 dias. Portanto, o serviço de provisionamento do Microsoft Entra não armazena, processa ou retém quaisquer dados por mais de 30 dias. Este design está em conformidade com os regulamentos do GDPR, com os regulamentos de conformidade de privacidade da Microsoft e com as políticas de retenção de dados do Microsoft Entra.

Conteúdo relacionado

  • Last updated on