生命周期工作流附带许多预配置的任务,这些任务旨在自动执行常见的生命周期管理方案。 这些内置任务可用于使自定义工作流符合组织的需求。 可以在几秒钟内配置这些任务以创建新工作流。 这些任务还具有基于 Joiner-Mover-Leaver 模型的类别,以便可以根据需求轻松地将其置于工作流中。 本文将获取任务的完整列表、每个任务具有的常见参数信息以及每个特定任务所需的唯一参数列表。
支持的任务
生命周期工作流的每个内置任务都包含一个标识符(称为 taskDefinitionID),既可以使用这个标识符来从头开始创建新工作流,也可以将此标识符插入到工作流模板中,以便满足组织的需求。 有关可用于生命周期工作流的模板的详细信息,请参阅:生命周期工作流模板。
当前,生命周期工作流支持以下任务:
| 任务 | taskdefinitionID | 类别 | Active Directory 兼容性 |
|---|---|---|---|
| 向新员工发送欢迎电子邮件 | 70b29d51-b59a-4773-9280-8841dfd3f2ea | 入职者 | |
| 发送载入提醒电子邮件 | 3C860712-2D37-42A4-928F-5C93935D26A1 | 入职者 | |
| 生成临时访问密码并通过电子邮件将其发送给用户的管理员 | 1b555e50-7f65-41d5-b514-5894a026d10d | 入职者 | |
| 发送电子邮件以通知经理用户发生了调动 | aab41899-9972-422a-9d97-f626014578b7 | 搬运工 | |
| 请求用户访问包分配 | c1ec1e76-f374-4375-aaa6-0bb6bd4c60be | 入职者、换岗者 | |
| 将许可证分配给用户 | 683c87a4-2ad4-420b-97d4-220d90afcd24 | 入职者、换岗者 | |
| 将用户添加到组 | 22085229-5809-45e8-97fd-270d28d66910 | Joiner、Leaver、Mover | |
| 将用户添加到团队 | e440ed8d-25a1-4618-84ce-091ed5be5594 | Joiner、Leaver、Mover | |
| 启用用户帐户 | 6fc52c9d-398b-4305-9763-15f42c1676fc | 入职者、离职者 | |
| 运行自定义任务扩展 | 4262b724-8dba-4fad-afc3-43fcbb497a0e | Joiner、Leaver、Mover | |
| 禁用用户帐户 | 1dfdfcc7-52fa-4c2e-bf3a-e3919cc12950 | 离职者 | |
| 从所选组中移除用户 | 1953a66c-751c-45e5-8bfe-01462c70da3c | Joiner、Leaver、Mover | |
| 从所有组中移除用户 | b3a31406-2a15-4c9a-b25b-a658fa5f07fc | 离职者 | |
| 从团队中删除用户 | 06aa7acb-01af-4824-8899-b14e5ed788d6 | 离职者 | |
| 从所有团队中删除用户 | 81f7b200-2816-4b3b-8c5d-dc556f07b024 | 离职者 | |
| 移除用户的访问包分配 | 4a0b64f2-c7ec-46ba-b117-18f262946c50 | 离职者、迁移者 | |
| 移除用户的所有访问包分配 | 42ae2956-193d-4f39-be06-691b8ac4fa1d | 离职者 | |
| 取消用户的所有挂起的访问包分配请求 | 498770d9-bab7-4e4c-b73d-5ded82a1d0b3 | 离职者 | |
| 从用户中移除所选许可证分配 | 5fc402a8-daaf-4b7b-9203-da868b05fc5f | 离职者、迁移者 | |
| 撤销用户的所有刷新令牌 | 509589a4-0466-4471-829e-49c5e502bdee | 离职者、迁移者 | |
| 向经理发送电子邮件,了解赞助更改(预览版) | b8c4e1f9-3a7d-4b2e-9c5f-8d6a9b1c2e3f | 离职者、迁移者 | |
| 向共同发起人发送电子邮件,了解赞助商更改(预览版) | ad3b85cd-75b1-43e7-b4b9-0e52faba3944 | 离职者、迁移者 | |
| 从用户中移除所有许可证分配 | 8fa97d28-3e52-4985-b3a9-a1126f9b8b4e | 离职者 | |
| 删除用户 | 8d18588d-9ad3-4c0f-99d0-ec215f0e3dff | 离职者 | |
| 在用户的最后一天之前向经理发送电子邮件 | 52853a3e-f4e5-4eb8-bb24-1ac09a1da935 | 离职者 | |
| 在用户的最后一天发送电子邮件 | 9c0a1eaf-5bda-4392-9d9e-6e155bb57411 | 离职者 | |
| 在用户的最后一天之后向其经理发送电子邮件 | 6f22ddd4-b3a5-47a4-a846-0d7c201a49ce | 离职者 | |
| 发送有关用户不活动的电子邮件 | 92f74cb4-f1b6-4ec0-b766-96210f56edc2 | 离职者 |
常见任务参数
常见任务参数是每个任务中包含的非唯一参数。 将任务添加到新工作流或工作流模板时,可以自定义和配置这些参数,使其符合要求。
| 参数 | Definition |
|---|---|
| 分类 | 标识任务的一个或多个类别的只读字符串。 在选择 taskDefinitionID 时自动确定。 |
| taskDefinitionId | 引用 taskDefinition 的字符串,用于确定要运行的任务。 |
| isEnabled | 一个指示任务是否设置为运行的布尔值。 如果设置为“true”, 则任务将运行。 默认值为 true。 |
| displayName | 标识任务的唯一字符串。 |
| 描述 | 描述任务用途的字符串,以供管理使用。 (可选) |
| executionSequence | 一个只读整数,说明任务在工作流中运行的顺序。 |
| continueOnError | 一个布尔值,该值确定此任务的失败是否阻止后续工作流运行。 |
| arguments | 包含与给定任务相关的唯一参数。 |
常见电子邮件任务参数
对于电子邮件任务,除了所有基本任务参数外,还可以在“基本信息”下配置电子邮件收件人:
电子邮件的收件人有以下几种类型:
- 管理员邮件属性(预览):工作流所针对的用户的经理的电子邮件。
- 用户邮件属性(默认):工作流所针对的用户的电子邮件。
- 发起人邮件属性(预览):工作流所针对的用户的一个或多个发起人的电子邮件。
- 所选用户(预览):手动指定的电子邮件用户。
注释
仅当收件人是用户本人或其经理时,才能选择其他抄送收件人。 如果有多个抄送收件人,会在单个电子邮件中复制这些收件人。
在 “电子邮件自定义 ”下,你可以自定义任务发送的特定电子邮件。 如果选择自定义电子邮件,可以设置以下参数:
- 主题:自定义电子邮件的主题。
- 消息正文:自定义要发送的电子邮件正文,并可以使用 HTML 元素进一步自定义。
- 电子邮件语言翻译:替代电子邮件收件人的语言设置。 不自定义自定义文本,建议将此语言设置为与自定义文本相同的语言。
有关此过程的分步指南,请参阅:自定义工作流任务发送的电子邮件。
电子邮件中的动态属性
使用自定义电子邮件,可以在主题和正文内包含动态属性,从而个性化这些电子邮件。 可包含的动态属性列表如下所示:
| Attribute | Definition |
|---|---|
| userDisplayName | 用户的显示名称。 |
| userEmployeeHireDate | 用户的员工聘用日期。 |
| userEmployeeLeaveDateTime | 用户的雇员休假日期和时间。 |
| managerDisplayName | 用户经理的显示名称。 |
| temporaryAccessPass | 生成的临时访问密码。 仅适用于 生成 TAP 和发送电子邮件 任务。 |
| userPrincipalName | 用户的 userPrincipalName。 |
| managerEmail | 经理的电子邮件。 |
| userSurname | 用户的姓氏。 |
| userGivenName | 用户的名字。 |
注释
将这些属性添加到自定义电子邮件或主题时,必须正确嵌入它们。 有关执行此操作的分步指南,请参阅:设置自定义电子邮件内属性的格式。
任务详细信息
本部分包含每个特定任务及其成功运行所需的参数和先决条件等详细信息。 参数在 Microsoft Entra 管理中心和 Microsoft Graph 中同时显示时,会注明。 有关常规编辑生命周期工作流任务的信息,请参阅:管理工作流版本。
向新员工发送欢迎电子邮件
生命周期工作流允许自动向组织中的新员工发送欢迎电子邮件。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
运行“向新员工发送欢迎电子邮件”任务的 Microsoft Entra 先决条件为:
- 为用户填充的邮件属性。
对于 Microsoft Graph,“向新员工发送欢迎电子邮件”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 入职者 |
| displayName | 发送欢迎电子邮件(用户可进行自定义) |
| 描述 | 向新员工发送欢迎电子邮件(用户可进行自定义) |
| taskDefinitionId | 70b29d51-b59a-4773-9280-8841dfd3f2ea |
| arguments | 可指定可选的通用电子邮件任务参数;如果不包括这些参数,则默认行为生效。 |
工作流中的用法示例:
{
"category": "joiner",
"continueOnError": false,
"description": "Send welcome email to new hire",
"displayName": "Send Welcome Email",
"isEnabled": true,
"taskDefinitionId": "70b29d51-b59a-4773-9280-8841dfd3f2ea",
"arguments": [
{
"name": "cc",
"value": "e94ad2cd-d590-4b39-8e46-bb4f8e293f85,ac17d108-60cd-4eb2-a4b4-084cacda33f2"
},
{
"name": "customSubject",
"value": "Welcome to the organization {{userDisplayName}}!"
},
{
"name": "customBody",
"value": "Welcome to our organization {{userGivenName}} {{userSurname}}.\n\nFor more information, reach out to your manager {{managerDisplayName}} at {{managerEmail}}."
},
{
"name": "locale",
"value": "en-us"
}
]
}
发送入职提醒电子邮件
通过生命周期工作流,可自动向组织中新员工的经理发送入职提醒电子邮件。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
要运行“发送入职提醒电子邮件”任务,Microsoft Entra 必须满足以下先决条件:
- 为用户填充的经理属性。
- 为用户填充的经理的邮件属性。
对于 Microsoft Graph,“发送入职提醒电子邮件”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 入职者 |
| displayName | 发送入职提醒电子邮件(可由用户自定义) |
| 描述 | 向用户的经理发送入职提醒电子邮件(可由用户自定义) |
| taskDefinitionId | 3C860712-2D37-42A4-928F-5C93935D26A1 |
| arguments | 可指定可选的通用电子邮件任务参数;如果不包括这些参数,则默认行为生效。 |
工作流中的用法示例:
{
"category": "joiner",
"continueOnError": false,
"description": "Send onboarding reminder email to user\u2019s manager",
"displayName": "Send onboarding reminder email",
"isEnabled": true,
"taskDefinitionId": "3C860712-2D37-42A4-928F-5C93935D26A1",
"arguments": [
{
"name": "cc",
"value": "e94ad2cd-d590-4b39-8e46-bb4f8e293f85,068fa0c1-fa00-4f4f-8411-e968d921c3e7"
},
{
"name": "customSubject",
"value": "Reminder: {{userDisplayName}} is starting soon"
},
{
"name": "customBody",
"value": "Hello {{managerDisplayName}}\n\nthis is a reminder that {{userDisplayName}} is starting soon.\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}
生成临时访问密码并通过电子邮件将其发送给用户的管理员
Microsoft Entra 允许你使用临时访问密码 (TAP) 来为用户设置无密码凭据。 你还可以使用 Microsoft Entra 自助式密码重置来设置常规密码。 借助这项任务,你可以通过生命周期工作流来自动生成临时访问密码 (TAP),并将其发送给新用户的经理。 还可以自定义发送给用户经理的电子邮件。
注释
用户的员工雇佣日期用作临时访问密码的开始时间。 确保正确地设置 TAP 生命周期任务设置和用户入职日期的时间部分,以确保当用户开始工作第一天时 TAP 仍然有效。 如果在工作流执行时雇用日期已经过去,则会将当前时间用作开始时间。
此任务出现在 Microsoft Entra 管理中心后,你可以为任务提供名称和说明。 还必须设置:
- 激活持续时间 - 密码处于活动状态的时间长度。
-
一次性使用 - 密码是否只能使用一次。
运行“生成临时访问密码并通过电子邮件将其发送给用户的管理员”任务的 Microsoft Entra 先决条件如下:
- 为用户填充的经理属性。
- 为用户填充的经理的邮件属性。
- 必须启用 TAP 租户策略,并且为“激活持续时间”和“一次性使用”所选的值必须在策略的允许范围内。 有关详细信息,请参阅启用临时访问密码
重要
在工作流中为其运行此任务的用户还必须没有任何其他身份验证方法、登录或 Microsoft Entra 角色分配,才能使此任务正常工作。
对于 Microsoft Graph,“生成临时访问密码并通过电子邮件将其发送给用户的经理”这一任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 入职者 |
| displayName | 生成 TAPAndSendEmail(用户可进行自定义) |
| 描述 | 生成临时访问密码并通过电子邮件将其发送给用户的管理员(用户可进行自定义) |
| taskDefinitionId | 1b555e50-7f65-41d5-b514-5894a026d10d |
| arguments | 参数包含名称为“tapLifetimeInMinutes”的参数,该参数表示临时访问通行证从 startDateTime 开始的有效期(以分钟为单位)。 最短 10 分钟,最长 43200 分钟(相当于 30 天)。 该参数还包含 tapIsUsableOnce 参数,可确定密码是否限制为一次性使用。 如果为 true,则密码可以使用一次;如果为 false,则密码可以在 temporaryAccessPass 生存期内多次使用。 此外,还可指定可选的通用电子邮件任务参数;如果不包括这些参数,则默认行为生效。 |
工作流中的用法示例:
{
"category": "joiner",
"continueOnError": false,
"description": "Generate Temporary Access Pass and send via email to user's manager",
"displayName": "Generate TAP and Send Email",
"isEnabled": true,
"taskDefinitionId": "1b555e50-7f65-41d5-b514-5894a026d10d",
"arguments": [
{
"name": "tapLifetimeMinutes",
"value": "480"
},
{
"name": "tapIsUsableOnce",
"value": "false"
},
{
"name": "cc",
"value": "068fa0c1-fa00-4f4f-8411-e968d921c3e7,9d208c40-7eb6-46ff-bebd-f30148c39b47"
},
{
"name": "customSubject",
"value": "Temporary access pass for your new employee {{userDisplayName}}"
},
{
"name": "customBody",
"value": "Hello {{managerDisplayName}}\n\nPlease find the temporary access pass for your new employee {{userDisplayName}} below:\n\n{{temporaryAccessPass}}\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}
发送电子邮件以通知经理用户发生了调动
当用户在组织内发生调动时,你可以通过生命周期工作流向用户的经理发送电子邮件,通知经理这一调动情况。 还可以自定义发送给用户经理的电子邮件。
要运行发送电子邮件以通知经理用户发生了调动任务,Microsoft Entra 必须满足以下先决条件:
- 为用户填充的经理属性。
- 为用户填充的经理的邮件属性。
对于 Microsoft Graph,“发送电子邮件以通知经理用户发生了调动”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 搬运工 |
| displayName | 发送电子邮件以通知经理用户发生了调动(可由用户自定义) |
| 描述 | 发送电子邮件以通知用户的经理用户发生了调动(可由用户自定义) |
| taskDefinitionId | aab41899-9972-422a-9d97-f626014578b7 |
| arguments | 可指定可选的通用电子邮件任务参数;如果不包括这些参数,则默认行为生效。 |
工作流中的用法示例:
{
"category": "mover",
"continueOnError": false,
"description": "Send email to notify user\u2019s manager of user move",
"displayName": "Send email to notify manager of user move",
"isEnabled": true,
"taskDefinitionId": "aab41899-9972-422a-9d97-f626014578b7",
"arguments": [
{
"name": "cc",
"value": "ac17d108-60cd-4eb2-a4b4-084cacda33f2,7d3ee937-edcc-46b0-9e2c-f832e01231ea"
},
{
"name": "customSubject",
"value": "{{userDisplayName}} has moved"
},
{
"name": "customBody",
"value": "Hello {{managerDisplayName}}\n\nwe are reaching out to let you know {{userDisplayName}} has moved in the organization.\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}
请求用户访问包分配
允许你为用户请求访问包分配。 如果为访问包配置了审批流程,并且应执行审批流程,则必须选择加入权利管理设置“Enforce policy approval setting for admin direct assignments”。 有关访问包的详细信息,请参阅什么是访问包,可以使用它们管理哪些资源?。
你可以自定义此任务的任务名称和说明。 还必须选择要为用户请求的访问包和策略。
对于 Microsoft Graph,“请求用户访问包分配”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 入职者、换岗者 |
| displayName | 请求用户访问包分配(可由用户自定义) |
| 描述 | 请求将用户分配到所选访问包(可由用户自定义) |
| taskDefinitionId | c1ec1e76-f374-4375-aaa6-0bb6bd4c60be |
| arguments | 参数包含两个名称参数,即“assignmentPolicyId”和“accessPackageId”。 |
工作流中的用法示例:
{
"category": "joiner,mover",
"continueOnError": false,
"description": "Request user assignment to selected access package",
"displayName": "Request user access package assignment",
"isEnabled": true,
"taskDefinitionId": "c1ec1e76-f374-4375-aaa6-0bb6bd4c60be",
"arguments": [
{
"name": "assignmentPolicyId",
"value": "00d6fd25-6695-4f4a-8186-e4c6f901d2c1"
},
{
"name": "accessPackageId",
"value": "2ae5d6e5-6cbe-4710-82f2-09ef6ffff0d0"
}
]
}
将许可证分配给用户
允许将许可证分配给用户。 若要向用户分配许可证,他们必须具有“usageLocation”属性集。
| 参数 | Definition |
|---|---|
| 分类 | 入职者、换岗者 |
| displayName | 向用户分配许可证(用户可进行自定义) |
| 描述 | 向用户分配所选的许可证(用户可进行自定义) |
| taskDefinitionId | 683c87a4-2ad4-420b-97d4-220d90afcd24 |
| arguments | 参数包含一个名称为“licenses”的参数,该参数接受“SKU ID”值。 有关这些值的完整列表,请参阅用于许可的产品名称和服务计划标识符。 |
工作流中的用法示例:
{
"category": "joiner,mover",
"continueOnError": false,
"description": "Assign selected licenses to the user",
"displayName": "Assign licenses to user",
"isEnabled": true,
"taskDefinitionId": "683c87a4-2ad4-420b-97d4-220d90afcd24",
"arguments": [
{
"name": "licenses",
"value": "a403ebcc-fae0-4ca2-8c8c-7a907fd6c235"
}
]
}
将用户添加到组
允许将用户添加到 Microsoft 365 和仅限云的安全组。 不支持已启用邮件的组、分发组、动态组以及可分配角色的组。 若要控制对本地基于 AD 组的应用程序和资源的访问,需要启用组写回。
可以自定义此任务的任务名称和说明。
对于 Microsoft Graph,“将用户添加到组”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 入职者、离职者 |
| displayName | AddUserToGroup(用户可进行自定义) |
| 描述 | 将用户添加到组(用户可进行自定义) |
| taskDefinitionId | 22085229-5809-45e8-97fd-270d28d66910 |
| arguments | 参数包含一个名称参数“groupID”和一个值参数(即,要将用户添加到的组的 ID)。 |
{
"category": "joiner,leaver",
"description": "Add user to groups",
"displayName": "AddUserToGroup",
"isEnabled": true,
"continueOnError": true,
"taskDefinitionId": "22085229-5809-45e8-97fd-270d28d66910",
"arguments": [
{
"name": "groupID",
"value": "0732f92d-6eb5-4560-80a4-4bf242a7d501"
}
]
}
将用户添加到团队
你可以将用户添加到现有静态团队。 可以自定义此任务的任务名称和说明。
对于 Microsoft Graph,“将用户添加到团队”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 入职者、离职者 |
| displayName | AddUserToTeam(用户可进行自定义) |
| 描述 | 将用户添加到团队(用户可进行自定义) |
| taskDefinitionId | e440ed8d-25a1-4618-84ce-091ed5be5594 |
| 参数 | 参数中包含名称参数(即“teamID”)和一个值参数,值参数是现有团队的团队 ID,该团队是您要向其中添加用户的。 |
{
"category": "joiner,leaver",
"description": "Add user to team",
"displayName": "AddUserToTeam",
"isEnabled": true,
"continueOnError": true,
"taskDefinitionId": "e440ed8d-25a1-4618-84ce-091ed5be5594",
"arguments": [
{
"name": "teamID",
"value": "e3cc382a-c4b6-4a8c-b26d-a9a3855421bd"
}
]
}
启用用户帐户
允许启用用户帐户。 不支持具有 Microsoft Entra 角色分配的用户,也不支持具有可分配角色的组的成员身份或所有权的用户。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“启用用户帐户”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 入职者、离职者 |
| displayName | EnableUserAccount(用户可进行自定义) |
| 描述 | 启用用户帐户(用户可进行自定义) |
| taskDefinitionId | 6fc52c9d-398b-4305-9763-15f42c1676fc |
| arguments | 可以包含可选的 enableOnPremisesAccount 参数。 如果希望为已同步的本地用户运行任务,则该值为布尔值 true,如果不希望为已同步的本地用户运行,则为 false。 |
{
"category": "joiner,leaver",
"description": "Enable user account",
"displayName": "EnableUserAccount",
"isEnabled": true,
"continueOnError": true,
"taskDefinitionId": "6fc52c9d-398b-4305-9763-15f42c1676fc",
"arguments": [
{
"name": "enableOnPremisesAccount",
"value": "true"
}
]
}
运行自定义任务扩展
可以将工作流配置为启动自定义任务扩展。 可以使用 Microsoft Entra 管理中心自定义此任务的任务名称和说明。
“运行自定义任务扩展”任务的 Microsoft Entra 先决条件为:
- 与自定义任务扩展兼容的逻辑应用。 有关详细信息,请参阅:生命周期工作流扩展性。
对于 Microsoft Graph,“运行自定义任务扩展”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 入职者、离职者 |
| displayName | 运行自定义任务扩展(用户可进行自定义) |
| 描述 | 运行自定义任务扩展以调用外部系统。 (用户可进行自定义) |
| taskDefinitionId | d79d1fcc-16be-490c-a865-f4533b1639ee |
| 参数 | 参数包含名称参数(即“customTaskExtensionID”)和一个值参数,该参数是以前创建的扩展的 ID,其中包含有关逻辑应用的信息。 |
{
"category": "joiner,leaver",
"description": "Run a Custom Task Extension to call-out to an external system.",
"displayName": "Run a Custom Task Extension",
"isEnabled": true,
"continueOnError": true,
"taskDefinitionId": "d79d1fcc-16be-490c-a865-f4533b1639ee",
"arguments": [
{
"name": "customTaskExtensionID",
"value": "<ID of your Custom Task Extension>"
}
]
}
有关设置逻辑应用以运行生命周期工作流的详细信息,请参阅:使用自定义生命周期工作流任务触发逻辑应用。
禁用用户帐户
允许禁用用户帐户。 不支持具有 Microsoft Entra 角色分配的用户,也不支持具有可分配角色的组的成员身份或所有权的用户。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“禁用用户帐户”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 入职者、离职者 |
| displayName | DisableUserAccount(用户可进行自定义) |
| 描述 | 禁用用户帐户(用户可进行自定义) |
| taskDefinitionId | 1dfdfcc7-52fa-4c2e-bf3a-e3919cc12950 |
| arguments | 可以包含可选的 disableOnPremisesAccount 参数。 如果希望为已同步的本地用户运行任务,则该值为布尔值 true,如果不希望为已同步的本地用户运行,则为 false。 |
{
"category": "joiner,leaver",
"description": "Disable user account",
"displayName": "DisableUserAccount",
"isEnabled": true,
"continueOnError": true,
"taskDefinitionId": "1dfdfcc7-52fa-4c2e-bf3a-e3919cc12950",
"arguments": [
{
"name": "disableOnPremisesAccount",
"value": "true"
}
]
}
从所选组中移除用户
允许从 Microsoft 365 和仅限云的安全组中移除用户。 不支持已启用邮件的组、分发组、动态组以及可分配角色的组。 若要控制对本地基于 AD 组的应用程序和资源的访问,需要启用组写回。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“从所选组中移除用户”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 离职者 |
| displayName | 从所选组中删除用户(用户可进行自定义) |
| 描述 | 从所选 Microsoft Entra 组的成员身份中删除用户(用户可进行自定义) |
| taskDefinitionId | 1953a66c-751c-45e5-8bfe-01462c70da3c |
| 参数 | 参数包含一个名称参数,即“groupID”,以及一个值参数,即从中移除用户的一个或多个组的组 ID。 |
{
"category": "leaver",
"displayName": "Remove user from selected groups",
"description": "Remove user from membership of selected Azure AD groups",
"isEnabled": true,
"continueOnError": true,
"taskDefinitionId": "1953a66c-751c-45e5-8bfe-01462c70da3c",
"arguments": [
{
"name": "groupID",
"value": "GroupId1, GroupId2, GroupId3, ..."
}
]
}
从所有组中移除用户
允许将用户从他们所属的每个 Microsoft 365 和仅限云的安全组中移除。 不支持已启用邮件的组、分发组、动态组以及可分配角色的组。 若要控制对本地基于 AD 组的应用程序和资源的访问,需要启用组写回。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“从所有组中移除用户”这一任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 离职者 |
| displayName | 从所有组中移除用户(用户可进行自定义) |
| 描述 | 从所有 Microsoft Entra 组成员身份中删除用户(用户可进行自定义) |
| taskDefinitionId | b3a31406-2a15-4c9a-b25b-a658fa5f07fc |
{
"category": "leaver",
"continueOnError": true,
"displayName": "Remove user from all groups",
"description": "Remove user from all Azure AD groups memberships",
"isEnabled": true,
"taskDefinitionId": "b3a31406-2a15-4c9a-b25b-a658fa5f07fc",
"arguments": []
}
从团队中移除用户
允许从一个或多个静态团队中删除用户。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“从团队中移除用户”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 入职者、离职者 |
| displayName | 从所选团队中删除用户(用户可进行自定义) |
| 描述 | 从所选团队的成员身份中删除用户(用户可进行自定义) |
| taskDefinitionId | 06aa7acb-01af-4824-8899-b14e5ed788d6 |
| arguments | 参数包含一个名称参数“teamID”和一个值参数(即,要从其中删除用户的团队的团队 ID)。 |
{
"category": "joiner,leaver",
"continueOnError": true,
"displayName": "Remove user from selected Teams",
"description": "Remove user from membership of selected Teams",
"isEnabled": true,
"taskDefinitionId": "06aa7acb-01af-4824-8899-b14e5ed788d6",
"arguments": [
{
"name": "teamID",
"value": "TeamId1, TeamId2, TeamId3, ..."
}
]
}
从所有团队中移除用户
允许将用户从其所属的每个静态团队中移除。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“从团队中移除所有用户”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 离职者 |
| displayName | 从所有团队成员身份中删除用户(用户可进行自定义) |
| 描述 | 从所有团队中移除用户(用户可进行自定义) |
| taskDefinitionId | 81f7b200-2816-4b3b-8c5d-dc556f07b024 |
{
"category": "leaver",
"continueOnError": true,
"description": "Remove user from all Teams",
"displayName": "Remove user from all Teams memberships",
"isEnabled": true,
"taskDefinitionId": "81f7b200-2816-4b3b-8c5d-dc556f07b024",
"arguments": []
}
移除用户的访问包分配
允许你删除用户的访问包分配。 有关访问包的详细信息,请参阅什么是访问包,可以使用它们管理哪些资源?。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。 还需要选择要删除其分配的访问包。
对于 Microsoft Graph,“移除用户的访问包分配”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 离职者、换岗者 |
| displayName | 移除用户的访问包分配(可由用户自定义) |
| 描述 | 移除所选访问包的用户分配(可由用户自定义) |
| taskDefinitionId | 4a0b64f2-c7ec-46ba-b117-18f262946c50 |
| arguments | 参数包含一个名称参数,即“accessPackageId”。 |
{
"category": "leaver, mover",
"continueOnError": false,
"description": "Remove user assignment of selected access package",
"displayName": "Remove access package assignment for user",
"isEnabled": true,
"taskDefinitionId": "4a0b64f2-c7ec-46ba-b117-18f262946c50",
"arguments": [
{
"name": "accessPackageId",
"value": "2ae5d6e5-6cbe-4710-82f2-09ef6ffff0d0"
}
]
}
移除用户的所有访问包分配
允许你删除用户的所有访问包分配。 有关访问包的详细信息,请参阅什么是访问包,可以使用它们管理哪些资源?。
您可以在 Microsoft Entra 管理中心自定义任务的名称、说明,以及选择访问包分配是立即删除还是在指定的天数后删除。
对于 Microsoft Graph,“移除用户的所有访问包分配”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 离职者 |
| displayName | 移除用户的所有访问包分配(可由用户自定义) |
| 描述 | 移除分配给用户的所有访问包(可由用户自定义) |
| taskDefinitionId | 42ae2956-193d-4f39-be06-691b8ac4fa1d |
| arguments | 参数包含一个名称参数,该参数是“daysUntilExpiration”,一个值参数,该参数是用户所有访问包分配到期前的天数。 |
工作流中的用法示例:
{
"category": "leaver",
"continueOnError": false,
"description": "Remove all access packages assigned to the user",
"displayName": "Remove all access package assignments for user",
"isEnabled": true,
"taskDefinitionId": "42ae2956-193d-4f39-be06-691b8ac4fa1d",
"arguments": [
{
"description": "Remove all access packages assigned to the user",
"displayName": "Remove all access package assignments for user",
"id": "42ae2956-193d-4f39-be06-691b8ac4fa1d",
"version": 1,
"parameters": [
{
"name": "daysUntilExpiration",
"values": [],
"valueType": "string"
}
]
}
]
取消用户的所有挂起的访问包分配请求
允许你取消用户的所有挂起的访问包分配请求。 有关访问包的详细信息,请参阅什么是访问包,可以使用它们管理哪些资源?。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“取消用户的所有挂起的访问包分配请求”任务的参数如下:
| 参数 | Definition |
|---|---|
| 分类 | 离职者 |
| displayName | 取消用户的挂起的访问包分配请求(可由用户自定义) |
| 描述 | 取消用户的所有挂起的访问包分配请求(可由用户自定义) |
| taskDefinitionId | 498770d9-bab7-4e4c-b73d-5ded82a1d0b3 |
工作流中的用法示例:
{
"category": "leaver",
"continueOnError": false,
"description": "Cancel all access package assignment requests pending for the user",
"displayName": "Cancel all pending access package assignment requests for user",
"isEnabled": true,
"taskDefinitionId": "498770d9-bab7-4e4c-b73d-5ded82a1d0b3",
"arguments": []
}
从用户中移除所选许可证分配
删除用户的所选许可证分配。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“从用户中移除所选许可证分配”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 离职者、换岗者 |
| displayName | 删除用户的许可证(用户可进行自定义) |
| 描述 | 删除分配给用户的所选许可证(用户可进行自定义) |
| taskDefinitionId | 5fc402a8-daaf-4b7b-9203-da868b05fc5f |
| arguments | 参数包含一个名称为“licenses”的参数,该参数接受“SKU ID”值。 有关这些值的完整列表,请参阅用于许可的产品名称和服务计划标识符。 |
工作流中的用法示例:
{
"category": "leaver, mover",
"description": "Remove selected licenses assigned to the user",
"displayName": "Remove licenses from user",
"id": "5fc402a8-daaf-4b7b-9203-da868b05fc5f",
"version": 1,
"parameters": [
{
"name": "licenses",
"values": [],
"valueType": "string"
}
]
}
撤销用户的所有刷新令牌
允许撤销用户的所有刷新令牌和浏览器会话令牌。 这会导致之前为用户颁发给应用程序的所有刷新令牌和浏览器会话令牌失效,但外部用户登录会话除外,因为外部用户通过其主租户登录。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“撤销用户的所有刷新令牌”任务的参数如下:
| 参数 | Definition |
|---|---|
| 分类 | 离职者、换岗者 |
| displayName | 撤销用户的所有刷新令牌 |
| 描述 | 撤销用户的所有刷新令牌 |
| taskDefinitionId | 509589a4-0466-4471-829e-49c5e502bdee |
{
"category": "leaver, mover",
"continueOnError": false,
"description": "Revoke all refresh tokens for user",
"displayName": "Revoke all refresh tokens for user",
"isEnabled": true,
"taskDefinitionId": "509589a4-0466-4471-829e-49c5e502bdee",
"arguments": []
}
向经理发送电子邮件,了解赞助更改(预览版)
允许向已移动或离开的员工经理发送电子邮件。 此电子邮件通知经理,该员工(已搬迁或离职)是一个或多个代理 ID 的赞助者。 这使经理可以决定代理 ID 是否应该由其他员工作为其发起人。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph, “向经理发送电子邮件”关于赞助更改 任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 离职者、换岗者 |
| displayName | 向经理发送电子邮件,了解赞助更改(预览版) |
| 描述 | 通知赞助商的经理关于代理身份赞助的转移。 |
| taskDefinitionId | b8c4e1f9-3a7d-4b2e-9c5f-8d6a9b1c2e3f |
工作流中的用法示例:
{
"category": "mover",
"continueOnError": false,
"description": "Notify sponsor's manager about agent identity sponsorship transfer.",
"displayName": "Send email to manager about sponsorship transfer",
"isEnabled": true,
"taskDefinitionId": "b8c4e1f9-3a7d-4b2e-9c5f-8d6a9b1c2e3f ",
"arguments": [
{
"name": "cc",
"value": "ac17d108-60cd-4eb2-a4b4-084cacda33f2,7d3ee937-edcc-46b0-9e2c-f832e01231ea"
},
{
"name": "customSubject",
"value": "{{userDisplayName}} has moved"
},
{
"name": "customBody",
"value": "Hello {{managerDisplayName}}\n\nwe are reaching out to let you know {{userDisplayName}} has moved in the organization and you have taken over their agent ID sponsorships.\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}
向共同发起人发送电子邮件,了解赞助商更改(预览版)
当用户(也是代理 ID 的发起人)已移动或离开时,允许向代理 ID 的共同发起人发送电子邮件。 这向共同主办方通知其代理 ID 的赞助发生了变化。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph, 向共同发起人发送电子邮件讨论发起人更改 任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 离职者、换岗者 |
| displayName | 向共同发起人发送电子邮件,了解赞助商更改(预览版) |
| 描述 | 通知共同发起人有关代理标识赞助变更的信息。 |
| taskDefinitionId | ad3b85cd-75b1-43e7-b4b9-0e52faba3944 |
工作流中的用法示例:
{
"category": "mover",
"continueOnError": false,
"description": "Notify co-sponsors about agent identity sponsorship changes.",
"displayName": "Send email to co-sponsors about sponsor changes",
"isEnabled": true,
"taskDefinitionId": "ad3b85cd-75b1-43e7-b4b9-0e52faba3944",
"arguments": [
{
"name": "cc",
"value": "ac17d108-60cd-4eb2-a4b4-084cacda33f2,7d3ee937-edcc-46b0-9e2c-f832e01231ea"
},
{
"name": "customSubject",
"value": "{{userDisplayName}} has moved"
},
{
"name": "customBody",
"value": "Hello \n\nwe are reaching out to let you know {{userDisplayName}} has moved in the organization and will no longer have sponsorship authority over agent IDs they previously sponsored with you.\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}
从用户中移除所有许可证分配
允许从用户中删除所有直接许可证分配。 对于基于组的许可证分配,你将运行一个任务来从许可证分配所属的组中删除用户。
可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“从用户中移除所有许可证分配”这一任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 离职者 |
| displayName | 删除用户的所有许可证(用户可进行自定义) |
| 描述 | 删除分配给用户的所有许可证(用户可进行自定义) |
| taskDefinitionId | 8fa97d28-3e52-4985-b3a9-a1126f9b8b4e |
{
"category": "leaver",
"continueOnError": true,
"displayName": "Remove all licenses for user",
"description": "Remove all licenses assigned to the user",
"isEnabled": true,
"taskDefinitionId": "8fa97d28-3e52-4985-b3a9-a1126f9b8b4e",
"arguments": []
}
删除用户
允许删除用户帐户。 不支持具有 Microsoft Entra 角色分配的用户,也不支持具有可分配角色的组的成员身份或所有权的用户。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
对于 Microsoft Graph,“删除用户”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 离职者 |
| displayName | 删除用户帐户(用户可进行自定义) |
| 描述 | 删除 Microsoft Entra ID 中的用户帐户(用户可进行自定义) |
| taskDefinitionId | 8d18588d-9ad3-4c0f-99d0-ec215f0e3dff |
| arguments | 可以包含可选的 deleteOnPremisesAccount 参数。 如果希望为本地用户运行任务,则该值为布尔值 true,如果不希望为已同步的本地用户运行,则为 false。 |
{
"category": "leaver",
"continueOnError": true,
"displayName": "Delete user account",
"description": "Delete user account in Azure AD",
"isEnabled": true,
"taskDefinitionId": "8d18588d-9ad3-4c0f-99d0-ec215f0e3dff",
"arguments": [
{
"name": "deleteOnPremisesAccount",
"value": "true"
}
]
}
在用户的最后一天之前向经理发送电子邮件
允许在用户最后一天之前将电子邮件发送给用户的经理。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
要运行“在用户的最后一天之前发送电子邮件”任务,Microsoft Entra 必须满足以下先决条件:
- 为用户填充的经理属性。
- 为用户填充的经理的邮件属性。
对于 Microsoft Graph,在用户的最后一天之前发送电子邮件 任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 离职者 |
| displayName | 在用户最后一天之前发送电子邮件(用户可进行自定义) |
| 描述 | 在工作的最后一天之前向用户的经理发送离职电子邮件(用户可进行自定义) |
| taskDefinitionId | 52853a3e-f4e5-4eb8-bb24-1ac09a1da935 |
| arguments | 可指定可选的通用电子邮件任务参数;如果不包括这些参数,则默认行为生效。 |
工作流中的用法示例:
{
"category": "leaver",
"continueOnError": false,
"description": "Send offboarding email to user’s manager before the last day of work",
"displayName": "Send email before user’s last day",
"isEnabled": true,
"taskDefinitionId": "52853a3e-f4e5-4eb8-bb24-1ac09a1da935",
"arguments": [
{
"name": "cc",
"value": "068fa0c1-fa00-4f4f-8411-e968d921c3e7,e94ad2cd-d590-4b39-8e46-bb4f8e293f85"
},
{
"name": "customSubject",
"value": "Reminder that {{userDisplayName}}'s last day is coming up"
},
{
"name": "customBody",
"value": "Hello {{managerDisplayName}}\n\nthis is a reminder that {{userDisplayName}}'s last day is coming up.\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}
在用户的最后一天发送电子邮件
允许在用户最后一天将电子邮件发送给用户的经理。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
要运行“在用户的最后一天发送电子邮件”任务,Microsoft Entra 必须满足以下先决条件:
- 为用户填充的经理属性。
- 为用户填充的经理的邮件属性。
对于 Microsoft Graph,“在用户的最后一天发送电子邮件”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 离职者 |
| displayName | 在用户最后一天发送电子邮件(用户可进行自定义) |
| 描述 | 在工作的最后一天向用户的经理发送离职电子邮件(用户可进行自定义) |
| taskDefinitionId | 9c0a1eaf-5bda-4392-9d9e-6e155bb57411 |
| arguments | 可指定可选的通用电子邮件任务参数;如果不包括这些参数,则默认行为生效。 |
工作流中的用法示例:
{
"category": "leaver",
"continueOnError": false,
"description": "Send offboarding email to user’s manager on the last day of work",
"displayName": "Send email on user’s last day",
"isEnabled": true,
"taskDefinitionId": "9c0a1eaf-5bda-4392-9d9e-6e155bb57411",
"arguments": [
{
"name": "cc",
"value": "068fa0c1-fa00-4f4f-8411-e968d921c3e7,e94ad2cd-d590-4b39-8e46-bb4f8e293f85"
},
{
"name": "customSubject",
"value": "{{userDisplayName}}'s last day"
},
{
"name": "customBody",
"value": "Hello {{managerDisplayName}}\n\nthis is a reminder that {{userDisplayName}}'s last day is today and their access will be revoked.\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}
在用户的最后一天之后向其经理发送电子邮件
允许在用户的最后一天之后将包含离职信息的电子邮件发送给其经理。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
要运行“在用户的最后一天之后向其经理发送电子邮件”任务,Microsoft Entra 必须满足以下先决条件:
- 为用户填充的经理属性。
- 为用户填充的经理的邮件属性。
对于 Microsoft Graph,“在用户的最后一天之后向其经理发送电子邮件”任务的参数如下所示:
| 参数 | Definition |
|---|---|
| 分类 | 离职者 |
| displayName | 在用户的最后一天之后向其经理发送电子邮件 |
| 描述 | 在工作的最后一天之后向用户的经理发送离职电子邮件(用户可进行自定义) |
| taskDefinitionId | 6f22ddd4-b3a5-47a4-a846-0d7c201a49ce |
| arguments | 可指定可选的通用电子邮件任务参数;如果不包括这些参数,则默认行为生效。 |
工作流中的用法示例:
{
"category": "leaver",
"continueOnError": false,
"description": "Send offboarding email to user’s manager after the last day of work",
"displayName": "Send email after user’s last day",
"isEnabled": true,
"taskDefinitionId": "6f22ddd4-b3a5-47a4-a846-0d7c201a49ce",
"arguments": [
{
"name": "cc",
"value": "ac17d108-60cd-4eb2-a4b4-084cacda33f2,7d3ee937-edcc-46b0-9e2c-f832e01231ea"
},
{
"name": "customSubject",
"value": "{{userDisplayName}}'s accounts will be deleted today"
},
{
"name": "customBody",
"value": "Hello {{managerDisplayName}}\n\nthis is a reminder that {{userDisplayName}} left the organization a while ago and today their disabled accounts will be deleted.\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}
发送有关用户不活动的电子邮件
允许包含有关非活动用户的信息的电子邮件在指定天数后发送给用户的经理作为其上次登录。 可以在 Microsoft Entra 管理中心内自定义此任务的任务名称和说明。
Microsoft Entra运行发送有关用户不活动的电子邮件任务的先决条件包括:
- 为用户填充的经理属性。
- 为用户填充的经理的邮件属性。
对于 Microsoft Graph,“发送有关用户不活跃的电子邮件”任务的参数如下:
| 参数 | Definition |
|---|---|
| 分类 | 离职者 |
| displayName | 发送有关用户不活动的电子邮件 |
| 描述 | 通知管理员用户已处于非活动状态(用户可自定义) |
| taskDefinitionId | 92f74cb4-f1b6-4ec0-b766-96210f56edc2 |
| arguments | 可指定可选的通用电子邮件任务参数;如果不包括这些参数,则默认行为生效。 |
工作流中的用法示例:
{
"category": "leaver",
"continueOnError": false,
"description": " Notify manager that user has been inactive",
"displayName": "Send email about user inactivity",
"isEnabled": true,
"taskDefinitionId": "92f74cb4-f1b6-4ec0-b766-96210f56edc2",
"arguments": [
{
"name": "cc",
"value": "1bda0458-cb4b-473d-baf5-61125c86a6d3,7f552c25-e0f6-40b6-b4e0-36bb40ba7fb6"
},
{
"name": "customSubject",
"value": "[UserDisplayName]’s account has been inactive for [NumberofDays] days."
},
{
"name": "customBody",
"value": "We’re notifying you that a recent sign-in for [UserDisplayName]’s user account has not been detected, and the account is considered inactive. The last sign in was [LastSigninDate]. To maintain a secure environment, your organization may have already started the process to disable or delete this user account.\n\nPlease check your organization’s policies and take appropriate action if this user account is still needed.\n\nRegards\nYour IT department"
},
{
"name": "locale",
"value": "en-us"
}
]
}