人力资源驱动的预配是基于人力资源系统创建数字标识的过程。 HR 系统成为这些新创建的数字标识的权威来源,通常是许多预配过程的起点。 例如,如果新员工加入公司,则会在人力资源系统中为其创建记录。 创建会触发用户帐户预配到 Active Directory,然后Microsoft Entra Connect 将此帐户预配到 Microsoft Entra ID。
组织可能具有本地 HR 系统,例如 SAP HCM、基于云的 HR 系统或两者的组合。 从历史上看,与本地 HR 系统的集成用于 HR 驱动的用户预配,这通常利用本地 HR 工具,例如 SAP 标识管理(SAP IDM)或 Microsoft 标识管理器(MIM),以在 Active Directory 中创建用户。 Microsoft Entra 还可用于本地 HR 系统、在 Active Directory 中创建和更新用户,或者对于没有 Active Directory 的环境,请在 Microsoft Entra ID 中创建和更新用户。
本地部署的人力资源配置
基于本地的 HR 预配是使用本地 HR 系统和预配新数字标识的方法来实现的。
HR 系统采用各种包、软件包,可以使用 SQL 服务器或文件与其他系统交换数据。
Microsoft Entra API 驱动的入站预配 还允许与本地 HR 系统集成。 平面文件、CSV 文件和 SQL 暂存表通常用于企业集成方案。 员工、承包商和供应商信息定期导出为以下格式之一,自动化工具用于将此数据与企业标识目录同步。 合作伙伴可以生成自定义 HR 连接器,以满足从记录系统到 Microsoft Entra ID 的数据流的不同集成要求。 通过 API 驱动的入站预配过程,集成得以简化,因为 Microsoft Entra 预配服务负责执行身份配置文件比较、将数据同步限制为由 IT 管理员配置的逻辑范围,以及在 Microsoft Entra 管理中心管理基于规则的属性流和转换。
还可以使用 Microsoft Identity Manager 在本地 HR 系统中创建新标识时触发预配。 使用 MIM,可以将用户从本地 HR 系统预配到 Active Directory 或Microsoft Entra ID。 有关Microsoft标识管理器及其支持的系统的信息,请参阅 Microsoft Identity Manager 文档。
用于Microsoft Entra 用户预配的云 HR 应用程序
从历史上看,IT 员工依靠手动方法来创建、更新和删除员工。 他们已使用上传 CSV 文件或自定义脚本等方法来同步员工数据。 这些预配过程容易出错、不安全且难以管理。
若要管理员工、供应商或临时员工的身份生命周期, Microsoft Entra 用户预配服务 提供与基于云的人力资源(HR)应用程序的集成。
Microsoft Entra ID 使用此集成来启用以下云 HR 应用程序(应用)工作流:
- 将用户预配到 Active Directory: 将所选用户集从云 HR 应用预配到一个或多个 Active Directory 域。
- 将仅限云的用户预配到 Microsoft Entra ID: 如果未使用 Active Directory,请直接从云人力资源应用预配用户到 Microsoft Entra ID。
- 写回云 HR 应用: 将电子邮件地址和用户名属性从 Microsoft Entra 写回云 HR 应用。
已启用人力资源场景
Microsoft Entra 用户预配服务可实现以下基于 HR 的标识生命周期管理方案的自动化:
- 新员工招聘: 将新员工添加到云 HR 应用时,会在 Active Directory 中自动创建用户帐户,并Microsoft Entra ID,并可以选择将电子邮件地址和用户名属性写回云 HR 应用。
- 员工属性和配置文件更新: 当员工记录(如姓名、职位或经理)在云 HR 应用中更新时,其用户帐户会在 Active Directory 和 Microsoft Entra ID 中自动更新。
- 员工离职: 当员工在云 HR 应用中离职时,其用户帐户会在 Active Directory 和 Microsoft Entra ID 中自动被禁用。
- 员工重新雇用: 在云端人力资源应用中当员工被重新雇用时,其旧帐户可以自动重新激活或重新配置到 Active Directory 和 Microsoft Entra ID。
此集成最适合谁?
云 HR 应用与 Microsoft Entra 用户预配的集成非常适合以下组织:
- 需要预构建的基于云的解决方案,用于云 HR 用户预配。
- 需要从云 HR 应用直接将用户预配到 Active Directory 或Microsoft Entra ID。
- 要求用户使用从云 HR 应用获取的数据进行预配。
- 要求将加入、移动和离开的用户同步到一个或多个 Active Directory 林、域和 OU,仅基于在云 HR 应用中检测到的更改信息。
- 使用 Office 365 发送电子邮件。
主要优势
人力资源驱动的 IT 预配的此功能提供以下重要的业务优势:
- 提高工作效率: 现在可以自动分配用户帐户和 Office 365 许可证,并提供对密钥组的访问权限。 自动化分配使新员工能够立即访问其工作工具并提高工作效率。
- 管理风险: 可以通过通过从云 HR 应用传入的数据,根据员工状态或组成员身份自动更改来提高安全性。 自动更改可确保用户在转换或离开组织时自动更新用户标识和对密钥应用的访问权限。
- 解决合规性和治理问题: Microsoft Entra ID 支持原生审核日志,用于记录由源系统和目标系统的应用执行的用户预配请求。 通过审核,你可以跟踪谁有权从单个屏幕访问应用。
- 管理成本: 自动预配通过避免与手动预配相关的效率低下和人为错误来降低成本。 它减少了对使用传统和过时平台构建的定制开发用户配置解决方案的需求。
管理加入者-移动者-离开者生命周期工作流
你可以扩展人力资源驱动的预配流程,以进一步自动化与新员工、就业更改和终止相关的业务流程和安全控制。 使用 Microsoft Entra ID 治理生命周期工作流,可以配置 Joiner-Mover-Leaver 工作流,例如:
- 新员工加入前的“X”天,向经理发送电子邮件,将用户添加到组,并生成首次登录的临时访问通行证。
- 当用户的部门或职务或组成员身份发生更改时,启动自定义任务。
- 在工作的最后一天,向经理发送电子邮件,并从组和许可证分配中删除用户。
- 终止后的“X”天,从 Microsoft Entra ID 中删除用户。