生命周期工作流创建的工作流可以基于为用户配置的属性(包括自定义安全属性)进行范围限定。 可以使用为租户配置的现有自定义安全属性,该属性包含用户的敏感数据,以进一步控制要执行工作流的用户集。 有关自定义安全属性及其用例的详细信息,请参阅: Microsoft Entra ID 中的自定义安全属性是什么?。
先决条件
使用此功能需要Microsoft Entra ID Governance 或 Microsoft Entra Suite 许可证。 若要查找符合要求的正确许可证,请参阅 Microsoft Entra ID Governance 许可基础知识。
若要使用自定义安全属性限定工作流的范围,必须在租户中创建一个自定义安全属性集及其定义。 有关添加自定义安全属性集及其定义的指导,请参阅: 在 Microsoft Entra ID 中添加或停用自定义安全属性定义。 创建自定义集属性并设置其定义时,还必须向用户分配此属性。 有关向用户分配自定义安全属性的指南,请参阅: 向用户分配自定义安全属性。
使用 Microsoft Entra 管理中心将自定义安全属性添加到工作流的范围
可以创建工作流或编辑工作流,以将自定义安全属性作为范围包含在内。 以下步骤将指导你编辑现有工作流,以将自定义安全属性用作范围。 有关从头开始创建工作流的指南,可以使用自定义安全属性限定工作流的范围,请参阅: 创建生命周期工作流。 若要编辑工作流以将自定义安全属性包含在其范围内,请完成以下步骤。
以至少生命周期工作流管理员和属性分配管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>生命周期工作流>工作流。
在“工作流”页上,选择要将自定义安全属性用作作用域的一部分的工作流。
在特定工作流页上,选择 “执行条件”。
在“执行条件”页上,选择“ 范围详细信息”。
在范围详细信息页上,选择 “添加表达式”,然后从下拉列表中找到自定义安全属性,然后设置其值。
注释
停用的自定义安全属性不会在此列表中显示。
设置自定义安全属性的值后,选择“ 保存”。
使用 Microsoft Graph 将自定义安全属性添加到工作流的范围
将自定义安全属性添加到工作流范围会更新其执行条件时,你将创建工作流的新版本。 若要使用 Microsoft Graph 通过 API 创建新版本的工作流,请参阅: 工作流:createNewVersion。
查看用作工作流范围的自定义安全属性
使用自定义安全属性限定工作流范围后,可以在工作流审核日志中查看此信息。 若要查看这些详细信息,需要执行以下步骤:
以至少生命周期工作流管理员和属性分配管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>生命周期工作流>工作流。
在工作流页上,选择“ 审核日志”。
小窍门
通过适当的权限,可以从特定工作流的版本页查看其自定义安全属性信息。
选择一个事件,其中自定义安全属性用于在创建期间限定工作流的范围,或添加到更新的工作流并选择 “修改的属性”。
在版本信息页上的 “配置”下,应将自定义安全属性视为规则。
根据角色确定是否可以查看正在使用的自定义安全属性的完整详细信息。 如果在未设置 属性分配管理员 或 属性分配读取者 角色时尝试查看自定义安全属性信息,则会看到该信息已隐藏。
注释
有关隐藏的自定义安全属性的详细信息,请参阅: 为什么在“属性”列表中看不到任何自定义安全属性?。