生命周期工作流允许为符合工作流执行条件的用户自动触发和运行工作流。 有许多默认属性可用于触发工作流,但有时可能需要根据默认未提供的特定属性触发工作流。 通过使用自定义属性触发器,您可以在用户在组织内变动时,触发运行相应的工作流:
- 自定义安全属性 (CSA)
- 目录扩展属性
- 本地扩展属性 (1-15)
- EmployeeOrgData 属性
先决条件
使用此功能需要Microsoft Entra ID Governance 或 Microsoft Entra Suite 许可证。 若要查找符合要求的正确许可证,请参阅 Microsoft Entra ID Governance 许可基础知识。
使用 Microsoft Entra 管理中心在新工作流中使用自定义属性触发器
若要在新工作流中使用自定义属性触发器,请执行以下步骤:
以至少生命周期工作流管理员和属性分配管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>生命周期工作流>创建工作流。
在“工作流”页上,选择要将自定义安全属性用作作用域的一部分的工作流模板。
输入显示名称、说明和管理范围等基本信息。
在 “触发器类型 ”下,选择 “属性更改”。
对于 Attribute,请选择要触发工作流运行的属性触发器。
完成工作流配置并保存。
注释
仅在计划的工作流中检测到属性更改。
使用 Microsoft Entra 管理中心将自定义属性添加到现有工作流触发器
以至少生命周期工作流管理员和属性分配管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>生命周期工作流>工作流。
选择一个工作流,将自定义属性添加到其触发器中。
在工作流概述页上,选择 “执行条件”。
在 “触发器详细信息”下,使用要用于触发工作流的自定义属性更新触发器。
选择“保存”。
自定义属性触发器注意事项
当前必须启用工作流和工作流调度,以便捕获属性更改并安排工作流执行。 生命周期工作流开始检查属性更改后,这些自定义属性可能会延迟获取更改所需的时间。 尽管更改应在几分钟内生效,但在用户属性更改后,会有上游流程导致进一步的延迟,例如:
- 自定义属性的更改可能需要基础服务长达 4 小时来更新,但是,一旦自定义属性的更改被传播,生命周期工作流应在几秒钟内捕获更改。
- 一旦生命周期工作流选取了更改,针对符合工作流范围的用户,工作流将在下一次目标环节中按照计划执行。
属性及自定义属性处理时序
下图显示了在工作流触发器中使用常规属性和自定义属性的处理时间可能存在差异。
在示例 A 中,工作流计划在部门属性发生更改时运行,即下午 12:00,下一个目标运行时间为下午 1 点和下午 2 点:
- 下午12:10,用户部门发生变动
- 下午 12:15,检测到用户位于工作流范围内
- 在下午 1 点运行中,用户由工作流处理
在示例 B 中,工作流计划在 TestCustomSecurityAttribute1 属性发生更改时运行,即下午 12:00,下一个目标运行时间为下午 1 点和下午 2 点:
- 下午12:10,用户的TestCustomSecurityAttribute1(测试自定义安全属性1)属性发生更改。
- 下午 3:55 更改被传递到生命周期工作流
- 下午 4:00,检测到用户位于工作流范围内(下午 4 点运行时间过晚)
- 在下午 5 点运行中,用户由工作流处理
有关在生命周期工作流中使用自定义属性触发器的常见问题,请参阅: 生命周期工作流常见问题解答。