从历史上看,IT 员工依靠手动方法来创建、更新和删除员工。 他们已使用上传 CSV 文件或自定义脚本等方法来同步员工数据。 这些预配过程容易出错、不安全且难以管理。
若要管理员工、供应商或临时员工的身份生命周期, Microsoft Entra 用户预配服务 提供与基于云的人力资源(HR)应用程序的集成。
Microsoft Entra ID 使用此集成来启用以下云 HR 应用程序(应用)过程:
- 将用户预配到 Active Directory: 将所选用户集从云 HR 应用预配到一个或多个 Active Directory 域。
- 将仅限云的用户预配到 Microsoft Entra ID: 如果未使用 Active Directory,请直接从云人力资源应用预配用户到 Microsoft Entra ID。
- 写回云 HR 应用: 将电子邮件地址和用户名属性从 Microsoft Entra 写回云 HR 应用。
注释
此部署计划演示如何使用 Microsoft Entra 用户预配部署云 HR 应用。 有关如何将自动用户预配部署到服务型软件(SaaS)应用的信息,请参阅 计划自动用户预配部署。
从任何 HR 系统进行 API 驱动的预配
使用 API 驱动的预配,可以将 任何 记录系统中的标识引入到 Microsoft Entra ID 中。 可以使用所选 的任何 自动化工具从记录系统检索员工数据,并将其引入Microsoft Entra ID。 IT 管理员完全控制如何使用属性映射处理和转换数据。
已启用人力资源场景
Microsoft Entra 用户预配服务可实现以下基于 HR 的标识生命周期管理方案的自动化:
- 新员工招聘: 将员工添加到云 HR 应用后,会自动在 Active Directory 和 Microsoft Entra ID 中创建用户。 添加用户帐户包括将电子邮件地址和用户名属性写回云 HR 应用的选项。
- 员工属性和配置文件更新: 当员工记录(如姓名、职位或经理)在云 HR 应用中更新时,其用户帐户会在 Active Directory 和 Microsoft Entra ID 中自动更新。
- 员工离职: 当员工在云 HR 应用中离职时,其用户帐户会在 Active Directory 和 Microsoft Entra ID 中自动被禁用。
- 员工重新雇用: 在云端人力资源应用中当员工被重新雇用时,其旧帐户可以自动重新激活或重新配置到 Active Directory 和 Microsoft Entra ID。
此集成最适合谁?
云 HR 应用与 Microsoft Entra 用户预配的集成非常适合以下组织:
- 需要预构建的基于云的解决方案,用于云 HR 用户预配。
- 需要从云 HR 应用直接将用户预配到 Active Directory 或Microsoft Entra ID。
- 要求用户使用从云 HR 应用获取的数据进行预配。
- 同步正在加入、移动和离开的用户。 同步发生在一个或多个 Active Directory 林、域和 OU 之间,具体取决于云 HR 应用中检测到的更改信息。
- 将 Microsoft 365 用于电子邮件。
Learn
用户预配为正在进行的标识治理奠定了基础。 它增强了依赖于权威标识数据的业务流程的质量。
术语
本文使用以下术语:
- 源系统:Microsoft Entra ID 预配的用户的存储库。 例如,云 HR 应用。
- 目标系统:Microsoft Entra ID 预配到的用户存储库。 例如 Active Directory、Microsoft Entra ID、Microsoft 365 或其他 SaaS 应用。
- 加入者-调动者-离职者流程:使用云人力资源应用作为记录系统,管理新员工入职、调动和离职过程。 当服务成功将所需属性预配到目标系统时,该过程将完成。
主要优势
人力资源驱动的 IT 预配的此功能提供以下重要的业务优势:
- 提高工作效率: 现在可以自动分配用户帐户和Microsoft 365 个许可证,并提供对密钥组的访问权限。 自动化分配使新员工能够立即访问其工作工具并提高工作效率。
- 管理风险: 根据员工状态或组成员身份自动更改以提高安全性。 此自动化可确保用户标识和密钥应用的访问权限自动更新。 例如,当用户转换或离开组织时,HR 应用中的更新会自动流动。
- 解决合规性和治理问题: Microsoft Entra ID 支持原生预配日志,用于由源系统和目标系统的应用程序执行的用户预配请求。 通过审核,你可以跟踪谁有权从单个屏幕访问应用。
- 管理成本: 自动预配通过避免与手动预配相关的效率低下和人为错误来降低成本。 它减少了对使用传统和过时平台构建的定制开发用户配置解决方案的需求。
许可
若要将云 HR 应用配置为Microsoft Entra 用户预配集成,需要有效的 Microsoft Entra ID P1 或 P2 许可证 以及云 HR 应用的许可证。
对于每个从云 HR 应用获取并预配到 Active Directory 或 Microsoft Entra ID 的用户,还需要拥有有效的 Microsoft Entra ID P1 或更高版本的订阅许可证。
在预配过程中使用 生命周期工作流 和其他Microsoft Entra ID 治理功能需要 Microsoft Entra ID Governance 许可证。
先决条件
- 用于配置 Connect 预配代理的混合标识管理员角色。
- 配置供应应用的应用程序管理员角色。
- 云 HR 应用的测试和生产实例。
- 云 HR 应用中的管理员权限,用于创建系统集成用户,并为测试目的对测试员工数据进行更改。
- 若要将用户预配到 Active Directory,需要运行 Windows Server 2016 或更高版本的服务器来托管 Microsoft Entra Connect 预配代理。 此服务器应该是基于 Active Directory 管理层模型的第 0 层服务器。
- Microsoft Entra Connect ,用于在 Active Directory 与 Microsoft Entra ID 之间同步用户。
培训资源
| 资源 | 链接和说明 |
|---|---|
| FAQ | 自动用户预配 |
解决方案体系结构
以下示例介绍常见混合环境的端到端用户预配解决方案体系结构,其中包括:
- 从云 HR 应用到 Active Directory 的权威 HR 数据流。 在此流程中,HR 事件(新员工-调动员工-离职员工流程)在云端 HR 应用租户中启动。 Microsoft Entra 预配服务和 Microsoft Entra Connect 预配代理将云 HR 应用租户中的用户数据预配到 Active Directory。 根据事件,它可能会导致在 Active Directory 中创建、更新、启用和禁用操作。
- 与 Microsoft Entra ID 同步,并将电子邮件和用户名从本地 Active Directory 写回云 HR 应用。 在 Active Directory 中更新帐户后,它会通过 Microsoft Entra Connect 与 Microsoft Entra ID 同步。 电子邮件地址和用户名属性可以写回到云端人力资源应用租户。
预配过程的说明
关系图中指出了以下关键步骤:
- HR 团队 在云 HR 应用租户中执行事务。
- Microsoft Entra 预配服务 从云 HR 应用租户运行计划周期,并标识要处理与 Active Directory 同步的更改。
- Microsoft Entra 预配服务 使用包含 Active Directory 帐户创建、更新、启用和禁用操作的请求有效负载调用 Microsoft Entra Connect 预配代理。
- Microsoft Entra Connect 预配代理 使用服务帐户来管理 Active Directory 帐户数据。
- Microsoft Entra Connect 运行增量同步来获取 Active Directory 中的更新。
- Active Directory 更新与 Microsoft Entra ID 同步。
- Microsoft Entra 预配服务 将电子邮件属性和用户名从 Microsoft Entra ID 写回云 HR 应用租户。
规划部署项目
确定您在环境中进行此部署的策略时,请考虑组织的需求。
让合适的利益干系人参与
当技术项目失败时,它们通常由于对影响、结果和责任的预期不匹配而这样做。 为了避免这些陷阱,请确保你与正确的利益相关者合作。 此外,请确保项目中利益相关者的角色得到充分理解。 记录利益干系人及其项目输入和责任。
包括来自人力资源部门的代表,该代表可以提供有关现有 HR 业务流程和员工身份以及工作数据处理要求的意见。
制定沟通计划
沟通对于任何新服务的成功都至关重要。 主动与用户沟通其体验的更改时间和方式。 让他们知道如何在遇到问题时获得支持。
规划试点
将 HR 业务流程和标识工作流从云 HR 应用集成到目标系统需要大量的数据验证、数据转换、数据清理和端到端测试,然后才能将解决方案部署到生产环境。
请先在试点环境中运行初始配置,然后再将其扩展到生产中的所有用户。
规划 HR 数据流和属性映射
为了确保正确的 HR 记录映射到Microsoft Entra ID(Entra ID)/本地 Active Directory(AD)中的用户,请与 HR 和 IT 团队合作,确保数据一致性并规划任何数据清理任务。 下面是入门的最佳做法列表。
匹配标识符状态和唯一性: 预配服务使用匹配属性来唯一标识 HR 系统中的用户记录,并将用户记录与 AD/Entra ID 中的相应用户帐户相关联。 默认匹配属性基于员工 ID。 在启动完全同步之前,请确保在 Entra ID(仅限云用户)和本地 AD(对于混合用户)中填充员工 ID 的值,并唯一标识用户。 在启动完全同步之前,请参阅在 Active Directory 中 为 employeeId 属性编制索引 。
使用范围筛选器跳过不再相关的 HR 记录: 人力资源系统有几年的就业数据可能一直追溯到20世纪70年代。 另一方面,您的 IT 团队可能只对当前活跃员工列表和上线后收到的离职记录感兴趣。 若要从 IT 团队的角度筛掉不再相关的 HR 记录,请与 HR 团队协作,在可在 Microsoft Entra 预配范围筛选器中使用的 HR 记录上添加标志。
规划在用户名中处理特殊字符: 常见做法是使用工作者的名字和姓氏为用户创建一个唯一的
userPrincipalName。 不允许userPrincipalName重音字符,只允许以下字符 A - Z、a - z、0 - 9。 - _ ! #^~。 使用函数 NormalizeDiacritics 处理重音字符并构造适当的userPrincipalName。计划处理长字符串: 检查您的 HR 数据是否存在与 HR 字段相关联的长字符串值,这些值将用于填充 Entra ID / 本地 AD 属性。 每个 Entra ID 属性都具有最大字符串长度。 如果映射到 Entra ID 属性的 HR 字段中的值包含更多字符,则属性更新可能会失败。 一个选项是查看属性映射,并检查是否有可能截断/更新 HR 系统中的长字符串值。 如果无法使用该选项,则可以使用 Mid 等函数截断长字符串,也可以使用 Switch 等函数将长值映射到较短的值/缩写。
处理必需属性的 null/空值:在 Entra ID 或本地 AD 中创建帐户时,必须填充某些属性,例如
firstName、lastName、CN或UPN。 如果映射到此类属性的相应 HR 字段为 null,则用户创建操作将失败。 例如,如果将 ADCN属性映射到“显示名称”,并且没有为所有用户设置“显示名称”,则会遇到错误。 一个选项是查看此类必需的属性映射,并确保在 HR 中填充相应的字段。 还可以考虑以下选项,即在表达式映射中检查 null 值。 例如,如果显示名称为空,则连接名字和姓氏以形成显示名称。
选择云人力资源预配连接器应用
为了便于从云 HR 应用将 Microsoft Entra 预配到 Active Directory,您可以从 Microsoft Entra 应用库中添加多个预配连接器应用程序:
- 云 HR 应用到 Active Directory 用户预配:此预配连接器应用有助于将用户帐户从云 HR 应用预配到单个 Active Directory 域。 如果有多个域,可以从Microsoft Entra 应用库为每个需要预配到的 Active Directory 域添加此应用的一个实例。
- 用于Microsoft Entra 用户预配的云 HR 应用:Microsoft Entra Connect 是用于将本地用户的 Active Directory 同步到 Microsoft Entra ID 的工具。 用于Microsoft Entra 用户预配的云 HR 应用是用于将仅限云的用户从云 HR 应用预配到单个 Microsoft Entra 租户的连接器。
- 云 HR 应用写回:此预配连接器程序方便将用户的电子邮件地址从 Microsoft Entra ID 回写到云 HR 应用。
决策流程图
使用以下决策流程图确定哪些云 HR 预配应用与你的方案相关。
设计 Microsoft Entra Connect 预配代理部署拓扑
云 HR 应用与 Active Directory 之间的预配集成需要四个组件:
- 云 HR 应用租户
- 预配连接器应用
- Microsoft Entra Connect 预配代理
- Active Directory 域
Microsoft Entra Connect 预配代理部署拓扑取决于你计划集成的云 HR 应用租户和 Active Directory 子域的数量。 如果有多个 Active Directory 域,它取决于 Active Directory 域是连续的还是非连续的。
根据你的决定,选择其中一种部署方案:
- 单一云端 HR 应用租户 —> 面向受信任的林中的单个或多个 Active Directory 子域
- 单一云 HR 应用租户 -> 以不相邻 Active Directory 林中的多个子域为目标
单一云端人力资源应用租户 -> 针对受信任林中的单个或多个 Active Directory 子域
建议使用以下生产配置:
| 要求 | 建议 |
|---|---|
| 要部署的 Microsoft Entra Connect 预配代理的数量。 | 两个(用于高可用性和故障转移)。 |
| 要配置的预配连接器应用数量。 | 每个子域一个应用。 |
| Microsoft Entra Connect 预配代理的服务器主机。 | Windows Server 2016 可直接连接到地理位置的 Active Directory 域控制器。
可与 Microsoft Entra Connect 服务共存。 |
单一云 HR 应用租户 -> 以不相邻 Active Directory 林中的多个子域为目标
此方案涉及将用户从云 HR 应用预配到不同 Active Directory 林中的域。
建议使用以下生产配置:
| 要求 | 建议 |
|---|---|
| 要在本地部署的 Microsoft Entra Connect 预配代理的数量 | 在每个不相交的 Active Directory 林中,有两个。 |
| 要配置的预配连接器应用数 | 每个子域一个应用。 |
| Microsoft Entra Connect 预配代理的服务器主机。 | Windows Server 2016 可直接连接到地理位置的 Active Directory 域控制器。
可与 Microsoft Entra Connect 服务共存。 |
Microsoft Entra Connect 预配代理要求
云 HR 应用到 Active Directory 用户预配解决方案需要部署一个或多个 Microsoft Entra Connect 预配代理。 这些代理必须部署在运行 Windows Server 2016 或更高版本的服务器上。 服务器必须至少具有 4 GB RAM 和 .NET 4.7.1+ 运行时。 确保主机服务器对目标 Active Directory 域具有网络访问权限。
若要准备本地环境,Microsoft Entra Connect 预配代理配置向导会将代理注册到 Microsoft Entra 租户。
预配代理将 全局托管服务帐户(GMSA) 配置为与 Active Directory 域通信。
可以选择应处理预配请求的域控制器。 如果有多个地理分布式域控制器,请在首选域控制器所在的同一站点中安装预配代理。 此定位提高了端到端解决方案的可靠性和性能。
若要实现高可用性,可以部署多个Microsoft Entra Connect 预配代理。 注册代理以处理同一组本地 Active Directory 域。
设计 HR 预配应用部署拓扑
根据入站用户预配配置中涉及的 Active Directory 域数,可以考虑以下部署拓扑之一。 每个拓扑图都使用示例部署方案来突出显示配置方面。 使用与部署要求非常相似的示例来确定满足需求的配置。
部署拓扑一:使用一个应用程序,将所有用户从云端 HR 系统预配到一个本地的 Active Directory 域。
部署拓扑一是最常见的部署拓扑。 如果需要将所有用户从云 HR 预配到单个 AD 域,并且相同的预配规则适用于所有用户,请使用此拓扑。
关键配置要点
- 设置两个预配代理节点以实现高可用性和故障转移。
- 使用 预配代理配置向导 将 AD 域注册到 Microsoft Entra 租户。
- 配置预配应用时,请从已注册域的下拉列表中选择 AD 域。
部署拓扑 2:将应用程序分开,以便从云 HR 部署到不同用户集,并配置到单个本地 Active Directory 域
此拓扑支持业务要求,其中属性映射和预配逻辑因用户类型(员工/承包商)、用户位置或用户的业务部门而异。 根据部门或国家/地区,可以使用此拓扑委托入站用户配置的维护和管理。
关键配置要点
- 设置两个预配代理节点以实现高可用性和故障转移。
- 为要预配的每个不同用户集创建 HR2AD 预配应用。
- 使用预配应用程序中的范围筛选器定义用户来处理每个应用程序。
- 在需要跨不同用户集解析管理器引用的情况下,创建单独的 HR2AD 预配应用。 例如,承包商向员工经理报告。 使用单独的应用仅更新 管理器 属性。 将此应用的范围设置为所有用户。
注释
如果没有测试 AD 域并使用 AD 中的 TEST OU 容器,则可以使用此拓扑创建两个单独的应用 HR2AD(Prod)和 HR2AD(测试)。 使用 HR2AD (测试) 应用测试属性映射更改,然后再将其提升到 HR2AD (Prod) 应用。
部署拓扑三:分离应用以通过云人力资源管理为不同的用户集预配到多个本地 Active Directory 域(无跨域可见性)
使用拓扑 3 管理属于同一林的多个独立子 AD 域。 确保管理员始终存在于用户所在的同一域中。 此外,请确保 userPrincipalName、samAccountName 和 mail 等属性的唯一 ID 生成规则不需要进行整个林的查找。 拓扑 3 提供了按域边界委派每个预配作业管理的灵活性。
例如:在关系图中,为每个地理区域设置预配应用:北美(NA)、欧洲、中东和非洲(EMEA)和亚太地区(APAC)。 根据位置,用户将预配到相应的 AD 域。 可以委托管理预配应用,以便 EMEA 管理员可以 独立管理属于 EMEA 区域的用户的预配配置。
关键配置要点
- 设置两个预配代理节点以实现高可用性和故障转移。
- 使用 预配代理配置向导 向 Microsoft Entra 租户注册所有子 AD 域。
- 为每个目标域创建单独的 HR2AD 预配应用。
- 配置预配应用时,请从可用 AD 域的下拉列表中选择相应的子 AD 域。
- 使用预配应用中的范围筛选器来定义每个应用所处理的用户。
部署拓扑四:将不同的应用程序集从“云 HR”系统预配到多个本地 Active Directory 域(具有跨域可见性)
使用拓扑 4 管理属于同一林的多个独立的子 AD 域。 用户的经理可能位于不同的域中。 此外,诸如 userPrincipalName、 samAccountName 和 邮件地址 等属性的唯一 ID 生成规则需要在整个林中查找。
例如:在关系图中,为每个地理区域设置预配应用:北美(NA)、欧洲、中东和非洲(EMEA)和亚太地区(APAC)。 根据位置,用户将预配到相应的 AD 域。 通过在预配代理上启用推荐追踪来处理跨域管理引用和林范围的查找。
关键配置要点
- 设置两个预配代理节点以实现高可用性和故障转移。
- 配置预配代理上的引用跟踪。
- 使用 预配代理配置向导 向 Microsoft Entra 租户注册父 AD 域和所有子 AD 域。
- 为每个目标域创建单独的 HR2AD 预配应用。
- 配置每个预配应用时,请从可用 AD 域的下拉列表中选择父 AD 域。 选择父域可确保林范围的查找,同时为 userPrincipalName、 samAccountName 和 mail 等属性生成唯一值。
- 将 parentDistinguishedName 与表达式映射配合使用,以在正确的子域和 OU 容器中动态创建用户。
- 使用预配应用中的范围筛选器定义每个应用处理的用户。
- 若要解析跨域管理器引用,请创建单独的 HR2AD 预配应用,以便仅更新 管理器 属性。 将此应用的范围设置为所有用户。
部署拓扑 5:单个应用程序,用于将所有用户从云人力资源系统预配到多个本地 Active Directory 域(支持跨域可见性)。
如果要使用单个预配应用来管理属于所有父域和子 AD 域的用户,请使用此拓扑。 如果预配规则在所有域中保持一致,并且无需委派管理预配作业,则建议使用此拓扑。 此拓扑支持解析跨域管理器引用,并且可以执行林范围的唯一性检查。
例如:在关系图中,单个预配应用管理位于按区域分组的三个不同的子域中的用户:北美(NA)、欧洲、中东和非洲(EMEA)和亚太地区(APAC)。 parentDistinguishedName 的属性映射用于在相应的子域中动态创建用户。 跨域管理和跨林查找通过在配置代理上启用推荐跟踪来处理。
关键配置要点
- 设置两个预配代理节点以实现高可用性和故障转移。
- 在配置代理上设置 转介跟踪 。
- 使用 预配代理配置向导 向 Microsoft Entra 租户注册父 AD 域和所有子 AD 域。
- 为整个林创建单个 HR2AD 预配应用。
- 配置预配应用时,请从可用 AD 域的下拉列表中选择父 AD 域。 选择父域可确保林范围的查找,同时为 userPrincipalName、 samAccountName 和 mail 等属性生成唯一值。
- 将 parentDistinguishedName 与表达式映射配合使用,以在正确的子域和 OU 容器中动态创建用户。
将应用程序分离,以便从云 HR 系统为不同的用户预配到各自独立的未连接本地 Active Directory 林。
如果 IT 基础结构有未连接/不相连的 AD 林,并且需要根据业务关系将用户预配到不同的林,请使用此拓扑。 例如:为子公司 Contoso 工作的用户需要预配到 contoso.com 域中,而为子公司 Fabrikam 工作的用户需要预配到 fabrikam.com 域中。
关键配置方面
- 设置两组不同的预配代理以实现高可用性和故障转移,每个林各设置一组。
- 创建两个不同的预配应用程序,每个森林各一个。
- 如果需要在林中解析跨域引用,请在配置代理上启用引用跟踪。
- 为每个断开连接的林创建单独的 HR2AD 预配应用。
- 配置每个预配应用时,请从可用 AD 域名的下拉列表中选择相应的父 AD 域。
改进后的翻译: 部署拓扑 7:将应用程序分开,用于从多个云端 HR 系统为不同用户进行预配至断开连接的本地 Active Directory 林
在大型组织中,拥有多个 HR 系统并不少见。 在业务 M&A(合并和收购)方案中,可能需要将本地 Active Directory 连接到多个 HR 源。 建议使用拓扑,如果您有多个 HR 源,并希望将这些 HR 源中的标识数据传送到相同或不同的本地 Active Directory 域。
关键配置要点
- 设置两组不同的预配代理以实现高可用性和故障转移,每个林各设置一组。
- 如果需要解析林中的跨域引用,请在预配代理上启用 引用追查。
- 为每个 HR 系统和本地 Active Directory 组合创建单独的 HR2AD 预配应用。
- 配置每个预配应用时,请从可用 AD 域名的下拉列表中选择相应的父 AD 域。
规划范围筛选器和属性映射
在云 HR 应用中启用对 Active Directory 或 Microsoft Entra ID 的供应时,Microsoft Entra 管理中心通过属性映射来控制属性值。
定义范围筛选器
使用 范围筛选器 定义基于属性的规则,这些规则确定哪些用户应从云 HR 应用预配到 Active Directory 或Microsoft Entra ID。
启动 Joiners 进程时,请收集以下要求:
- 云 HR 应用是否用于入职员工和临时工?
- 是否计划使用云 HR 应用程序,通过 Microsoft Entra 用户预配功能来管理员工和临时员工?
- 是否计划推出云 HR 应用,仅为一部分云 HR 应用用户提供 Microsoft Entra 用户预配? 可能的例子是仅限员工。
根据你的要求,配置属性映射时,可以设置 “源对象范围 ”字段以选择云 HR 应用中的哪些用户集应位于预配到 Active Directory 的范围内。 有关详细信息,请参阅云 HR 应用教程,了解常用范围筛选器。
确定匹配的属性
通过预配,可以匹配源系统和目标系统之间的现有帐户。 将云 HR 应用与 Microsoft Entra 预配服务集成后,可以 配置属性映射 以确定哪些用户数据应从云 HR 应用流向 Active Directory 或Microsoft Entra ID。
启动 Joiners 进程时,请收集以下要求:
- 此云 HR 应用中用于标识每个用户的唯一 ID 是什么?
- 从身份生命周期的角度来看,如何处理再雇用? 重新雇用的员工会保留他们原员工 ID 吗?
- 您是否处理将来入职的雇员,并提前为他们创建 Active Directory 帐户?
- 从身份生命周期的角度来看,如何处理员工到临时工人转换,或其他情况?
- 转换后的用户是否保留其旧 Active Directory 帐户,或者他们是否获得新帐户?
根据要求,Microsoft Entra ID 通过提供常量值或 为属性映射编写表达式,支持直接属性到属性映射。 这种灵活性使你能够最终控制目标应用属性中填充的内容。 可以使用 Microsoft 图形 API 将用户预配属性映射和架构导出到 JSON 文件,并将其导入到 Microsoft Entra ID 中。
默认情况下,表示唯一员工 ID 的云 HR 应用中的属性用作 映射到 Active Directory 中唯一属性的匹配属性。
可以设置多个匹配属性并分配匹配优先级。 它们根据匹配优先级进行评估。 一旦找到匹配,就不会进一步评估其他匹配属性。
还可以 自定义默认属性映射,例如更改或删除现有属性映射。 还可以根据业务需求创建新的属性映射。
确定用户帐户状态
默认情况下,预配连接器应用会将 HR 用户配置文件状态映射到用户帐户状态。 状态用于确定是启用或禁用用户帐户。
启动 Joiners-Leavers 过程时,请收集以下需求。
| 过程 | 要求 |
|---|---|
| 联接器 | 从身份生命周期的角度来看,如何处理重新雇用? 被重新雇佣的员工是否保留其旧员工ID? |
| 你是否会提前处理即将入职的员工,并为他们预先创建 Active Directory 帐户? 这些帐户是在启用或禁用状态下创建的吗? | |
| 从身份生命周期的角度来看,如何处理员工向临时工的转换,或其他类似情况? | |
| 转换后的用户是否保留其旧 Active Directory 帐户,或者他们是否获得新帐户? | |
| 离职者 | 在 Active Directory 中,员工与合同工的离职处理方式是否不同? |
| 用户终止处理时会考虑哪些生效日期? | |
| 员工和临时辅助角色转换如何影响现有的 Active Directory 帐户? | |
| 如何在 Active Directory 中处理 Rescind 操作? 如果在 Joiner 过程中,在 Active Directory 中创建了未来起始日期的雇员,则需要处理撤销操作。 |
根据要求,可以使用 Microsoft Entra 表达式 自定义映射逻辑,以便基于数据点的组合启用或禁用 Active Directory 帐户。
将云 HR 应用映射到 Active Directory 用户属性
每个云 HR 应用附带默认云 HR 应用到 Active Directory 映射。
启动 Joiners-Movers-Leavers 过程时,请收集以下需求。
| 过程 | 要求 |
|---|---|
| 联接器 | Active Directory 帐户创建过程是手动、自动化还是部分自动化? |
| 是否计划将自定义属性从云 HR 应用传播到 Active Directory? | |
| 搬运工 | 每当人员变动操作在云人力资源应用中发生时,您希望处理哪些属性? |
| 在用户更新时是否执行任何特定的属性验证? 如果是,请提供详细信息。 | |
| 离校者 | 在 Active Directory 中,员工和临时员工是否以不同的方式处理终止? |
| 处理用户终止的生效日期是什么? | |
| 员工和临时辅助角色转换如何影响现有的 Active Directory 帐户? |
根据要求,可以修改映射以满足集成目标。
生成唯一属性值
CN、samAccountName 和 UPN 等属性具有唯一约束。 启动联接器进程时,可能需要生成唯一的属性值。
Microsoft Entra ID 函数 SelectUniqueValues 会评估每个规则,并检查生成的值在目标系统中的唯一性。 有关示例,请参阅 为 userPrincipalName (UPN) 属性生成唯一值。
注释
此函数目前仅支持通过 API 驱动的预配过程向本地 Active Directory 进行。 不支持与其他预配应用一起使用。
配置 Active Directory OU 容器分配
将 Active Directory 用户帐户置于基于业务部门、位置和部门的容器中是一个常见要求。 启动“Movers”流程时,如果管理组织发生更改,可能需要将用户从 Active Directory 中的一个 OU 移动到另一个 OU。
使用 Switch() 函数配置 OU 分配的业务逻辑,并将其映射到 Active Directory 属性 parentDistinguishedName。
例如,如果要基于 HR 属性 城镇在 OU 中创建用户,可以使用以下表达式:
Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")
使用此表达式时,如果市政当局值为达拉斯、奥斯汀、西雅图或伦敦,则会在相应的 OU 中创建用户帐户。 如果没有匹配项,则会在默认 OU 中创建帐户。
规划新用户帐户的密码传递
启动 Joiners 进程时,需要设置并传递新用户帐户的临时密码。 通过云 HR 与 Microsoft Entra 用户预配,您可以在第一天为用户启用 Microsoft Entra ID 自助密码重置 (SSPR) 功能。
SSPR 是 IT 管理员使用户能够重置其密码或解锁其帐户的简单方法。 可以将云 HR 应用中的 Mobile Number 属性预配到 Active Directory,并将其与 Microsoft Entra ID 同步。 在“移动电话号码”属性在 Microsoft Entra ID 中之后,可以为用户的帐户启用 SSPR。 新用户在第一天可以使用已注册和已验证的移动电话号码进行身份验证。 请参阅 SSPR 文档,详细了解如何预先填充身份验证联系信息。
规划初始周期
Microsoft Entra 预配服务首次运行时,它会针对云 HR 应用执行 初始周期 ,以在云 HR 应用中创建所有用户对象的快照。 初始周期所花费的时间直接取决于源系统中存在的用户数。 一些拥有超过十万用户的云人力资源应用租户,其初始周期可能需要很长时间。
对于大型云 HR 应用客户(>30,000 个用户),请分阶段运行初始周期。 仅在验证 Active Directory 中为不同用户预配方案设置正确的属性后,才启动增量更新。 按照此处的顺序操作。
- 通过设置 范围筛选器,仅对有限的一组用户运行初始周期。
- 验证 Active Directory 帐户预配以及为首次运行选择的用户设置的属性值。 如果结果满足预期,请展开范围筛选器以逐步包含更多用户并验证第二次运行的结果。
对测试用户的初始周期结果感到满意后,启动 增量更新。
测试计划与安全
部署包括从初始试点到启用用户预配的阶段。 在每个阶段,请确保测试预期结果。 此外,请审核预配周期。
测试计划
将云 HR 应用配置为Microsoft Entra 用户预配后,运行测试用例以验证此解决方案是否符合组织的要求。
| 场景 | 预期结果 |
|---|---|
| 在云人力资源应用中,新员工被录用。 | - 用户帐户在 Active Directory 中预配。 - 用户可以登录到 Active Directory 域应用并执行所需的操作。 - 如果配置了 Microsoft Entra Connect Sync,则用户帐户也会在 Microsoft Entra ID 中创建。 |
| 用户在云人力资源应用中被移除。 | - 在 Active Directory 中禁用用户帐户。 - 用户无法登录到受 Active Directory 保护的任何企业应用。 |
| 云人力资源应用中的用户监督组织已更新。 | 根据属性映射,用户帐户从一个 OU 移到 Active Directory 中的另一个 OU。 |
| HR 在云端人力资源应用中更新用户的经理信息。 | Active Directory 中的管理器字段已更新,以反映新管理器的名称。 |
| HR 将员工重新雇用到新角色。 | 行为取决于云 HR 应用如何配置为生成员工 ID。 如果旧员工 ID 用于重新雇用的员工,连接器将为用户启用现有的 Active Directory 帐户。 如果重新注册的员工获取新的员工 ID,连接器将为用户创建新的 Active Directory 帐户。 |
| HR 将员工转换为合同工,反之亦然。 | 为新角色创建新的 Active Directory 帐户,并在转换生效日期禁用旧帐户。 |
使用前面的结果来确定如何根据已建立的时间线将自动用户预配实现转换为生产环境。
小窍门
在使用生产数据刷新测试环境时,应用数据缩减和数据清洗等技术,以删除或屏蔽敏感的个人数据,从而符合隐私和安全标准。
规划安全性
作为新服务的部署的一部分,需要进行安全评审。 如果需要进行或尚未进行安全评审,请参阅许多Microsoft Entra ID 白皮书,其中概述了身份即服务。
计划回滚
云 HR 用户预配实现可能无法在生产环境中正常工作。 如果是这样,以下回滚步骤可以帮助你还原到以前的已知良好状态。
- 查看 预配日志 ,以确定对受影响的用户或组执行了哪些不正确的操作。 有关预配摘要报告和日志的详细信息,请参阅 管理云 HR 应用用户预配。
- 受影响的用户或组的最后已知良好状态可以通过预配日志或通过查看目标系统(Microsoft Entra ID 或 Active Directory)来确定。
- 与应用所有者合作,使用最后已知的良好状态值直接在应用中更新受影响的用户或组。
部署云 HR 应用
选择符合解决方案要求的云 HR 应用。
管理系统配置
Microsoft Entra ID 可以通过预配日志和报告来更深入地了解组织的用户预配使用情况和操作运行状况。
从报表和日志获取见解
成功初始周期后,Microsoft Entra 预配服务将持续无限期地运行连续增量更新,间隔时间按照每个应用的特定教程中进行定义,直到发生以下事件之一:
- 服务已手动停止。 使用 Microsoft Entra 管理中心 或相应的 Microsoft Graph API 命令触发新的初始周期。
- 由于属性映射或范围筛选器发生更改,将触发新的初始周期。
- 预配过程由于错误率高而进入隔离状态。 它处于隔离状态超过四周,此时会自动禁用。
若要查看这些事件以及预配服务执行的其他所有活动, 请了解如何查看日志并获取有关预配活动的报告。
Azure Monitor 日志
预配服务执行的所有活动都记录在 Microsoft Entra 预配日志中。 可以将Microsoft Entra 预配日志路由到 Log Analytics 工作区,该工作区将数据发送到 Azure Monitor 日志和Microsoft Entra 工作簿,可在其中查询数据以查找事件、分析趋势,以及跨各种数据源执行关联。
若要启用 Log Analytics 和Microsoft Entra 工作簿,需要配置 Log Analytics 工作区。 然后,通过配置诊断设置将数据路由到相应的终结点。 有关详细信息,请参见:
管理个人数据
在 Windows 服务器上安装的 Microsoft Entra Connect 预配代理会在 Windows 事件日志中创建日志,该日志可能包含个人数据,具体取决于云 HR 应用到 Active Directory 属性映射。 为了遵守用户隐私义务,请设置一个 Windows 计划任务以清除事件日志并确保不会保留超过 48 小时的数据。
Microsoft Entra 预配服务不会生成报告、执行分析或提供超过 30 天的见解,因为该服务不会存储、处理或保留超过 30 天的任何数据。
管理加入者-移动者-离开者生命周期工作流
你可以扩展人力资源驱动的预配流程,以进一步自动化与新员工、就业更改和终止相关的业务流程和安全控制。 使用 Microsoft Entra ID 治理生命周期工作流,可以配置 Joiner-Mover-Leaver 工作流,例如:
- 新员工加入前的“X”天,向经理发送电子邮件,将用户添加到组,并生成首次登录的临时访问通行证。
- 当用户的部门或职务或组成员身份发生更改时,启动自定义任务。
- 在工作的最后一天,向经理发送电子邮件,并从组和许可证分配中删除用户。
- 终止后的“X”天,从 Microsoft Entra ID 中删除用户。
故障排除
若要排查预配期间可能出现的任何问题,请参阅以下文章:
- 为 Microsoft Entra 库应用程序配置用户预配时遇到的问题
- 将属性从本地 Active Directory 同步到 Microsoft Entra ID,以便预配到应用程序
- 配置用户预配到 Microsoft Entra 库应用程序时保存管理员凭据时出现问题
- 未将用户预配到 Microsoft Entra 库应用程序
- 将错误的用户组预配到 Microsoft Entra 库应用程序