plánování aplikace cloudového HR pro Azure Active Directory zřizování uživatelů

V minulosti se zaměstnanci IT spoléhali na ruční metody pro vytváření, aktualizaci a odstraňování zaměstnanců. Používaly metody, jako je nahrání souborů CSV nebo vlastních skriptů k synchronizaci dat zaměstnanců. Tyto zřizovací procesy jsou náchylné k chybám, nezabezpečené a nenáročné na správu.

aby bylo možné spravovat životní cykly identit zaměstnanců, dodavatelů nebo podmíněných pracovníků, služba zřizování uživatelů Azure Active Directory (Azure AD) nabízí integraci s aplikacemi pro lidské prostředky (HR) založené na cloudu. Mezi příklady aplikací patří Workday nebo SuccessFactors.

Azure AD pomocí této integrace povolí následující pracovní postupy aplikace cloudového HR:

• Zřizování uživatelů pro službu Active Directory: Zřídí vybrané sady uživatelů z aplikace cloudového HR do jedné nebo víc domén služby Active Directory.
• Zřizování pouze cloudových uživatelů v Azure AD: Ve scénářích, kdy se služba Active Directory nepoužívá, Zřiďte uživatele přímo z aplikace cloudového HR do Azure AD.
• Zapište zpátky do aplikace cloudového HR: Napište e-mailové adresy a atributy uživatelského jména z Azure AD zpátky do aplikace Cloude HR.

Povolené scénáře pro personální oddělení

Služba zřizování uživatelů Azure AD umožňuje automatizaci následujících scénářů správy životního cyklu identity na základě lidských zdrojů:

• Nové zařazení zaměstnanců: Když se do aplikace cloudového HR přidá nový zaměstnanec, automaticky se vytvoří uživatelský účet ve službě Active Directory a Azure AD s možností napsat zpátky e-mailovou adresu a atributy uživatelského jména do aplikace cloudového HR.
• Aktualizace atributů a profilů zaměstnanců: Když se v aplikaci cloudového HR aktualizuje záznam zaměstnance, jako je jméno, titul nebo manažer, jejich uživatelský účet se automaticky aktualizuje ve službě Active Directory a v Azure AD.
• Ukončení zaměstnanců: Když se zaměstnanec v aplikaci cloudového HR ukončí, je jeho uživatelský účet automaticky zakázaný ve službě Active Directory a Azure AD.
• Pracovní zařazení zaměstnanců: Po opětovném zařazení zaměstnance do aplikace cloudové HR se jejich starý účet může automaticky znovu aktivovat nebo znovu zřídit ve službě Active Directory a Azure AD.

Kdo je tato integrace nejlépe vhodná pro?

Integrace aplikace pro cloudovou HR se zřizováním uživatelů Azure AD je ideální pro organizace, které:

• Chcete předem připravené cloudové řešení pro zřizování uživatelů v cloudu.
• Vyžaduje přímé zřizování uživatelů z aplikace cloudového HR do služby Active Directory nebo Azure AD.
• Vyžadovat, aby se uživatelé zřídili pomocí dat získaných z aplikace cloudového HR.
• Vyžadovat, aby se uživatelé synchronizovaly do jedné nebo víc doménových struktur služby Active Directory, domén a organizačních jednotek, a to na základě informací o změně zjištěných v aplikaci cloudového HR.
• k odeslání e-mailu použijte Microsoft 365.

Learn

Zřizování uživatelů vytvoří základ pro průběžné řízení identit. Vylepšuje kvalitu obchodních procesů, které spoléhají na data autoritativní identity.

Terminologie

Tento článek používá následující výrazy:

• Zdrojový systém: úložiště uživatelů, ze kterých Azure AD zřídí. Příkladem je aplikace cloudového HR, jako je například Workday nebo SuccessFactors.
• Cílový systém: úložiště uživatelů, na které Azure AD zřídí. příklady jsou služby Active Directory, Azure AD, Microsoft 365 nebo jiné aplikace SaaS.
• Připojení – stěhovací společnosti – proces Leavers: termín používaný pro nová přijetí, přenosy a ukončení pomocí aplikace cloudového HR jako systému záznamů. Proces se dokončí, když služba úspěšně zřídí nezbytné atributy pro cílový systém.

Klíčové výhody

Tato schopnost zajišťování IT na základě lidských zdrojů nabízí tyto významné obchodní výhody:

• Zvýšení produktivity: nyní můžete automatizovat přiřazování uživatelských účtů a Microsoft 365 licencí a poskytovat přístup ke skupinám klíčů. Automatizace přiřazení poskytuje novým lidem okamžitý přístup ke svým nástrojům úloh a zvyšuje produktivitu.
• Řízení rizik: Zabezpečení můžete zvýšit automatizací změn na základě stavu zaměstnanců nebo členství ve skupinách pomocí toku dat z aplikace cloudového HR. Automatizace změn zajišťuje, že identity uživatelů a přístup k klíčovým aplikacím se automaticky aktualizují, když uživatelé přecházejí nebo odejdou z organizace.
• Řešení dodržování předpisů a zásad správného řízení: Azure AD podporuje protokoly nativního auditu pro požadavky uživatelů na zřizování prováděné aplikacemi ze zdrojového i cílového systému. Díky auditování můžete sledovat, kdo má přístup k aplikacím z jedné obrazovky.
• Spravovat náklady: Automatické zřizování snižuje náklady tím, že se vyhne neefektivitám a lidským chybám přidruženým k ručnímu zřizování. Díky starším a zastaralým platformám omezuje nutnost sestavování řešení pro zřizování uživatelů vytvořených v průběhu času.

Licencování

pokud chcete nakonfigurovat aplikaci cloudového hr na integraci zřizování uživatelů Azure AD, budete potřebovat platnou licenci Azure AD Premium a licenci pro aplikaci cloudového hr, jako je například Workday nebo SuccessFactors.

pro každého uživatele, který se bude nacházet z aplikace cloudového HR a je zajištěná v rámci služby Active Directory nebo Azure AD, potřebujete také platnou Azure AD Premium P1 nebo vyšší licenci k předplatnému. Jakýkoli nesprávný počet licencí vlastněných v aplikaci cloudového HR může vést k chybám při zřizování uživatele.

Požadavky

• správce hybridní identity Azure AD ke konfiguraci Azure AD Connectho agenta zřizování.
• Role Správce aplikací Azure AD pro konfiguraci zřizování aplikace v Azure Portal
• Instance testu a výroby aplikace cloudového HR.
• Oprávnění správce v aplikaci cloudového HR k vytvoření uživatele Integration System a provedení změn v datech testování zaměstnanců pro účely testování.
• pro zajištění uživatelského zřizování pro službu Active Directory se vyžaduje server se systémem Windows Server 2016 nebo vyšší, který je hostitelem Azure AD Connect zřizovacího agenta. Tento server by měl být serverem vrstvy 0, který je založený na modelu vrstvy správy služby Active Directory.
• Azure AD Connect pro synchronizaci uživatelů mezi službou Active Directory a službou Azure AD.

Školicí materiály

Architektura řešení

Následující příklad popisuje architekturu řešení zřizování koncových uživatelů pro běžná hybridní prostředí a zahrnuje:

• Autoritativní tok dat o lidských přenosech z aplikace cloudového HR do služby Active Directory. V tomto toku se v tenantovi aplikace cloudového HR zahajuje událost HR (spojovací procesy – stěhovací společnosti-Leavers). služba zřizování Azure AD a Azure AD Connect agent zřizování zřídí uživatelská data z tenanta aplikace cloudového HR do služby Active Directory. V závislosti na události to může vést k vytváření, aktualizaci, povolování a zakazování operací ve službě Active Directory.
• Synchronizujte se s Azure AD a zapište zpátky e-mail a uživatelské jméno z místní služby Active Directory do aplikace cloudového HR. po aktualizaci účtů ve službě Active Directory se tato služba synchronizuje se službou Azure AD prostřednictvím Azure AD Connect. E-mailové adresy a atributy uživatelského jména se dají zapsat zpátky do tenanta aplikace cloudového HR.

Popis pracovního postupu

V diagramu jsou uvedené následující klíčové kroky:

1. Tým HR provádí transakce v tenantovi cloudové aplikace.
2. Služba zřizování Azure AD spouští naplánované cykly z tenanta aplikace cloudového HR a identifikuje změny, které je potřeba zpracovat pro synchronizaci se službou Active Directory.
3. služba zřizování Azure AD vyvolá agenta Azure AD Connect zřizování s datovou částí požadavku, která obsahuje operace vytvoření, aktualizace, povolení a zakázání účtu služby Active Directory.
4. agent zřizování Azure AD Connect používá účet služby ke správě dat účtu služby Active Directory.
5. Azure AD Connect spustí rozdílovou synchronizaci s aktualizacemi pull ve službě Active Directory.
6. Aktualizace služby Active Directory se synchronizují se službou Azure AD.
7. Služba zřizování Azure AD zapisuje přihlašovací atributy e-mailu a uživatelské jméno z Azure AD do tenanta aplikace cloudového hr.

Plánování projektu nasazení

Při určování strategie pro toto nasazení v prostředí zvažte potřeby vaší organizace.

Zapojení správných zúčastněných stran

Když projekty technologie selžou, obvykle to vznikne z důvodu neshody očekávání na dopad, výsledky a odpovědnosti. Abyste se vyhnuli těmto nástrah, Ujistěte se, že jste připraví správné zúčastněné strany. Také se ujistěte, že role účastníků v projektu jsou dobře pochopitelné. Zdokumentujte zúčastněné strany a jejich vstup a accountabilities projektu.

Zahrňte zástupce z organizace pro personální oddělení, který může poskytovat vstupy na stávající obchodní procesy a identitu pracovního procesu a požadavky na zpracování dat úloh.

Plán komunikace

Komunikace je zásadní pro úspěch jakékoli nové služby. Proaktivně komunikujte s uživateli o tom, kdy a jak se změní jejich prostředí. Dejte jim vědět, jak získat podporu, pokud dojde k problémům.

Plánování pilotního projektu

Integrace obchodních procesů personálního oddělení a pracovních postupů identit z cloudové aplikace personálního oddělení do cílových systémů vyžaduje značné množství ověřování dat, transformace dat, čištění dat a koncového testování, než můžete řešení nasadit do produkčního prostředí.

Před škálování na všechny uživatele v produkčním prostředí spusťte počáteční konfiguraci v pilotním prostředí.

Výběr aplikací konektoru zřizování HR v cloudu

Pro usnadnění pracovních postupů zřizování Azure AD mezi cloudovou aplikací HR a Active Directory můžete přidat několik aplikací konektoru zřizování z galerie aplikací Azure AD:

• Zřizování uživatelů z cloudové aplikace HR do Active Directory: Tato aplikace zřizovacího konektoru usnadňuje zřizování uživatelských účtů z cloudové aplikace HR do jedné domény Active Directory. Pokud máte více domén, můžete přidat jednu instanci této aplikace z galerie aplikací Azure AD pro každou doménu Active Directory, pro kterou je potřeba zřídit.
• Zřizování uživatelů z cloudové aplikace HR do Azure AD: Zatímco Azure AD Připojení je nástroj, který by se měl používat k synchronizaci uživatelů Active Directory s Azure AD, můžete tuto aplikaci zřizovacího konektoru použít k usnadnění zřizování cloudových uživatelů z cloudové aplikace HR do jednoho tenanta Azure AD.
• Zpětná instalace cloudové aplikace HR: Tato aplikace zřizovacího konektoru usnadňuje zápis e-mailových adres uživatele z Azure AD do cloudové aplikace HR.

Na následujícím obrázku jsou například aplikace konektoru Workday, které jsou k dispozici v galerii aplikací Azure AD.

Vývojový diagram rozhodování

Pomocí následujícího vývojového diagramu rozhodování zjistěte, které aplikace pro zřizování hr v cloudu jsou pro váš scénář relevantní.

Návrh topologie nasazení agenta Připojení Azure AD

Integrace zřizování mezi cloudovou aplikací HR a službou Active Directory vyžaduje čtyři komponenty:

• Tenanta cloudové aplikace HR
• Aplikace zřizovacího konektoru
• Agent zřizování Připojení Azure AD
• Doména služby Active Directory

Topologie nasazení agenta Připojení Azure AD závisí na počtu tenantů cloudových aplikací hr a podřízených domén Active Directory, které plánujete integrovat. Pokud máte více domén služby Active Directory, závisí to na tom, jestli jsou domény služby Active Directory souvislé nebo nesouvislé.

Na základě vašeho rozhodnutí zvolte jeden ze scénářů nasazení:

• Tenant aplikace HR s jedním cloudem – > jednu nebo několik podřízených domén Active Directory v důvěryhodné doménové struktuře.
• Tenant aplikace HR s jedním cloudem – > více podřízených domén v nesouvislé doménové struktuře služby Active Directory.

Tenant aplikace HR s jedním cloudem – > jednu nebo několik podřízených domén Active Directory v důvěryhodné doménové struktuře.

Doporučujeme následující konfiguraci v produkčním prostředí:

Tenant aplikace HR s jedním cloudem – > více podřízených domén v nesouvislé doménové struktuře služby Active Directory.

Tento scénář zahrnuje zřizování uživatelů z cloudové aplikace HR pro domény v nesouvislých doménových strukturách Active Directory.

Doporučujeme následující konfiguraci v produkčním prostředí:

Požadavky na Připojení agenta zřizování azure AD

Cloudová aplikace hr do řešení zřizování uživatelů Active Directory vyžaduje, abyste na servery se spuštěnou službou azure AD Připojení nebo vyšším nasadili jednoho nebo více agentů zřizování Windows Server 2016 služby Azure AD. Servery musí mít minimálně 4 GB paměti RAM a modul runtime .NET 4.7.1+. Ujistěte se, že hostitelský server má síťový přístup k cílové doméně služby Active Directory.

Při přípravě místního prostředí průvodce konfigurací agenta zřizování služby Azure AD Připojení zaregistruje agenta ve vašem tenantovi Azure AD,otevře porty, povolí přístup k adresám URL a podporuje odchozí konfiguraci proxy serveru HTTPS.

Agent zřizování nakonfiguruje účet globální spravované služby (GMSA) pro komunikaci s doménami služby Active Directory. Pokud chcete ke zřizování použít účet služby bez GMSA, můžete konfiguraci GMSA přeskočit a během konfigurace zadat účet služby.

Můžete vybrat řadiče domény, které by měly zpracovávat žádosti o zřízení. Pokud máte několik geograficky distribuovaných řadičů domény, nainstalujte agenta zřizování ve stejné lokalitě jako upřednostňované řadiče domény. Toto umístění zlepšuje spolehlivost a výkon end-to-end řešení.

Pro zajištění vysoké dostupnosti můžete nasadit více než jednu službu Azure AD Připojení zřizování agentů. Zaregistrujte agenta pro zpracování stejné sady místní Active Directory domén.

Návrh topologie nasazení aplikace zřizování HR

V závislosti na počtu domén Active Directory, které jsou součástí konfigurace zřizování příchozích uživatelů, můžete zvážit jednu z následujících topologií nasazení. Každý diagram topologie používá příklad scénáře nasazení ke zvýraznění aspektů konfigurace. Použijte příklad, který se velmi podobá vašemu požadavku na nasazení, a určete konfiguraci, která bude splňovat vaše potřeby.

Topologie nasazení 1: Jedna aplikace pro zřízení všech uživatelů z cloudového personálního oddělení do místní Active Directory domény

Toto je nejběžnější topologie nasazení. Tuto topologii použijte, pokud potřebujete zřídit všechny uživatele z cloudového personálního oddělení do jedné domény AD a stejná pravidla zřizování platí pro všechny uživatele.

Důležité aspekty konfigurace

• Nastavení dvou uzlů agenta zřizování pro zajištění vysoké dostupnosti a převzetí služeb při selhání
• Pomocí průvodce konfigurací agenta zřizování zaregistrujte doménu AD ve svém tenantovi Azure AD.
• Při konfiguraci zřizovací aplikace vyberte doménu AD z rozevíracího seznamu registrovaných domén.
• Pokud používáte filtry oborů, nakonfigurujte příznak vynechání odstranění rozsahu, aby se zabránilo nechtěným deaktivacím účtu.

Topologie nasazení 2: Samostatné aplikace pro zřízení odlišných uživatelských sad z cloudového personálního oddělení do místní Active Directory domény

Tato topologie podporuje obchodní požadavky, kde se logika mapování atributů a zřizování liší v závislosti na typu uživatele (zaměstnanec/dodavatel), umístění uživatele nebo organizační jednotce uživatele. Tuto topologii můžete použít také k delegování správy a údržby příchozího zřizování uživatelů na základě dělení nebo země.

Důležité aspekty konfigurace

• Nastavení dvou uzlů agenta zřizování pro zajištění vysoké dostupnosti a převzetí služeb při selhání
• Vytvořte aplikaci zřizování HR2AD pro každou odlišnou uživatelskou sadu, kterou chcete zřídit.
• Pomocí filtrů oborů v aplikaci pro zřizování můžete definovat uživatele, kteří mají být zpracováni jednotlivými aplikacemi.
• Pokud chcete zpracovat scénář, ve kterém je potřeba řešit odkazy na manažery napříč různými uživatelskými sadami (např. vytváření sestav dodavatelů manažerům, kteří jsou zaměstnanci), můžete vytvořit samostatnou aplikaci zřizování HR2AD pro aktualizaci pouze atributu manažera. Nastavte rozsah této aplikace na všechny uživatele.
• Nakonfigurujte příznak vynechání odstranění mimo rozsah, aby se zabránilo náhodné deaktivaci účtu.

Topologie nasazení 3: Oddělte aplikace pro zřízení odlišných uživatelských sad z cloudového personálního oddělení do místní Active Directory domén (bez viditelnosti mezi doménami).

Tuto topologii použijte ke správě několika nezávislých podřízených domén AD, které patří do stejné doménové struktury, pokud manažeři vždy existují ve stejné doméně jako uživatel a vaše jedinečná pravidla generování ID pro atributy, jako jsou userPrincipalName, samAccountName a mail, nevyžadují vyhledávání v celé doménové struktuře. Nabízí také flexibilitu delegování správy jednotlivých úloh zřizování podle hranice domény.

Příklad: V následujícím diagramu jsou zřizovací aplikace nastavení pro každou geografickou oblast: Severní Amerika (NA), Evropa, Střední východ a Afrika (EMEA) a Asie a Tichomoří (APAC). V závislosti na umístění jsou uživatelé zřízeni pro příslušnou doménu AD. Delegovaná správa zřizovací aplikace je možná, aby správci EMEA mohli nezávisle spravovat konfiguraci zřizování uživatelů patřících do oblasti EMEA.

Důležité aspekty konfigurace

• Nastavení dvou uzlů agenta zřizování pro zajištění vysoké dostupnosti a převzetí služeb při selhání
• Pomocí průvodce konfigurací agenta zřizování zaregistrujte všechny podřízené domény AD ve vašem tenantovi Azure AD.
• Vytvořte samostatnou aplikaci zřizování HR2AD pro každou cílovou doménu.
• Při konfiguraci zřizovací aplikace vyberte příslušnou podřízené domény AD z rozevíracího seznamu dostupných domén AD.
• Pomocí filtrů oborů v aplikaci pro zřizování můžete definovat uživatele, kteří mají být zpracováni jednotlivými aplikacemi.
• Nakonfigurujte příznak vynechání odstranění mimo rozsah, aby se zabránilo náhodné deaktivaci účtu.

Topologie nasazení 4: Oddělte aplikace pro zřízení odlišných uživatelských sad z hrdosti v cloudu do místní Active Directory domén (s viditelností mezi doménami).

Tuto topologii použijte ke správě několika nezávislých podřízených domén AD patřících do stejné doménové struktury, pokud správce uživatele může existovat v jiné doméně a vaše jedinečná pravidla generování ID pro atributy, jako jsou userPrincipalName, samAccountName a mail, vyžaduje vyhledávání v celé doménové struktuře.

Příklad: V následujícím diagramu jsou zřizovací aplikace nastavení pro každou geografickou oblast: Severní Amerika (NA), Evropa, Střední východ a Afrika (EMEA) a Asie a Tichomoří (APAC). V závislosti na umístění jsou uživatelé zřízeni pro příslušnou doménu AD. Odkazy na správce napříč doménami a vyhledávání v celé doménové struktuře se zpracovávají povolením doporučení pro agenta zřizování.

Důležité aspekty konfigurace

• Nastavení dvou uzlů agenta zřizování pro zajištění vysoké dostupnosti a převzetí služeb při selhání
• Konfigurace doporučení pro agenta zřizování
• Pomocí průvodce konfigurací agenta zřizování zaregistrujte nadřazenou doménu AD a všechny podřízené domény AD ve vašem tenantovi Azure AD.
• Vytvořte samostatnou aplikaci zřizování HR2AD pro každou cílovou doménu.
• Při konfiguraci každé zřizovací aplikace vyberte z rozevíracího seznamu dostupných domén AD nadřazenou doménu AD. Tím se zajistí vyhledávání v celé doménové struktuře při generování jedinečných hodnot pro atributy, jako jsou userPrincipalName, samAccountName a mail.
• Pomocí parentDistinguishedName s mapováním výrazů dynamicky vytvořte uživatele ve správné podřízené doméně a kontejneru OU.
• Pomocí filtrů oborů v aplikaci pro zřizování můžete definovat uživatele, kteří mají být zpracováni jednotlivými aplikacemi.
• Pokud chcete vyřešit odkazy na správce napříč doménami, vytvořte samostatnou aplikaci zřizování HR2AD pro aktualizaci pouze atributu manager. Nastavte rozsah této aplikace na všechny uživatele.
• Nakonfigurujte příznak vynechání odstranění mimo rozsah, aby se zabránilo náhodné deaktivaci účtu.

Topologie nasazení 5: Jedna aplikace pro zřízení všech uživatelů z cloudového personálního oddělení do místní Active Directory domén (s viditelností mezi doménami)

Tuto topologii použijte, pokud chcete ke správě uživatelů patřících do všech nadřazených a podřízených domén AD použít jednu zřizovací aplikaci. Tato topologie se doporučuje, pokud jsou pravidla zřizování konzistentní napříč všemi doménami a neexistuje žádný požadavek na delegovanou správu úloh zřizování. Tato topologie podporuje překlad odkazů na správce napříč doménami a může provádět kontrolu jedinečnosti pro celou doménovou strukturu.

Příklad: V následujícím diagramu spravuje jedna zřizovací aplikace uživatele přítomné ve třech různých podřízených doménách seskupených podle oblasti: Severní Amerika (NA), Evropa, Střední východ a Afrika (EMEA) a Asie a Tichomoří (APAC). Mapování atributů parentDistinguishedName slouží k dynamickému vytvoření uživatele v příslušné podřízené doméně. Odkazy na správce napříč doménami a vyhledávání v celé doménové struktuře se zpracovávají povolením doporučení pro agenta zřizování.

Důležité aspekty konfigurace

• Nastavení dvou uzlů agenta zřizování pro zajištění vysoké dostupnosti a převzetí služeb při selhání
• Konfigurace doporučení pro agenta zřizování
• Pomocí průvodce konfigurací agenta zřizování zaregistrujte nadřazenou doménu AD a všechny podřízené domény AD ve vašem tenantovi Azure AD.
• Vytvořte jednu aplikaci zřizování HR2AD pro celou doménovou strukturu.
• Při konfiguraci zřizovací aplikace vyberte z rozevíracího seznamu dostupných domén AD nadřazenou doménu AD. Tím se zajistí vyhledávání v celé doménové struktuře při generování jedinečných hodnot pro atributy, jako jsou userPrincipalName, samAccountName a mail.
• Pomocí parentDistinguishedName s mapováním výrazů dynamicky vytvořte uživatele ve správné podřízené doméně a kontejneru OU.
• Pokud používáte filtry oborů, nakonfigurujte příznak vynechání odstranění rozsahu, aby se zabránilo nechtěným deaktivacím účtu.

Topologie nasazení 6: Oddělte aplikace pro zřizování jedinečných uživatelů od hrdě v cloudu až po odpojené místní Active Directory doménové struktury.

Tuto topologii použijte v případě, že vaše infrastruktura IT odpojí nebo odpojí doménové struktury AD a potřebujete zřídit uživatele pro různé doménové struktury na základě firemního snáz. Příklad: Uživatelé pracující pro pobočku Contoso musí být zřízeni v doméně contoso.com, zatímco uživatelé pracující pro pobočku Fabrikam musí být zřízeni do fabrikam.com domény.

Důležité aspekty konfigurace

• Nastavení dvou různých sad agentů zřizování pro vysokou dostupnost a převzetí služeb při selhání, jednu pro každou doménovou strukturu.
• Vytvořte dvě různé zřizovací aplikace, jednu pro každou doménovou strukturu.
• Pokud potřebujete přeložit odkazy napříč doménami v rámci doménové struktury, povolte doporučení pro agenta zřizování.
• Vytvořte samostatnou aplikaci zřizování HR2AD pro každou odpojenou doménovou strukturu.
• Při konfiguraci každé zřizovací aplikace vyberte v rozevíracím seznamu dostupných názvů domén AD příslušnou nadřazenou doménu AD.
• Nakonfigurujte příznak vynechání odstranění mimo rozsah, aby se zabránilo náhodné deaktivaci účtu.

Topologie nasazení 7: Oddělte aplikace pro zřízení odlišných uživatelů od několika cloudových zdrojů až po odpojené místní Active Directory doménové struktury.

Ve velkých organizacích není neobvyklé mít více systémů personálního oddělení. Během scénářů business M&A (fúze a akvizice) můžete narazit na potřebu připojení místní Active Directory zdrojům personálního oddělení. Topologii níže doporučujeme, pokud máte více zdrojů hr a chcete data identit z těchto zdrojů hr nasa která jsou ve stejném nebo místní Active Directory doménách.

Důležité aspekty konfigurace

• Nastavení dvou různých sad agentů zřizování pro vysokou dostupnost a převzetí služeb při selhání, jednu pro každou doménovou strukturu.
• Pokud potřebujete přeložit odkazy napříč doménami v rámci doménové struktury, povolte doporučení pro agenta zřizování.
• Vytvořte samostatnou aplikaci zřizování HR2AD pro každý personální systém a místní Active Directory kombinaci.
• Při konfiguraci každé zřizovací aplikace vyberte v rozevíracím seznamu dostupných názvů domén AD příslušnou nadřazenou doménu AD.
• Nakonfigurujte příznak vynechání odstranění mimo rozsah, aby se zabránilo náhodné deaktivaci účtu.

Filtry oborů plánu a mapování atributů

Když povolíte zřizování z cloudové aplikace HR do Active Directory nebo Azure AD, bude Azure Portal hodnoty atributů prostřednictvím mapování atributů.

Definování filtrů oborů

Pomocí filtrů oborů definujte pravidla založená na atributech, která určují, kteří uživatelé se mají z cloudové aplikace personálního oddělení zřídit do Active Directory nebo Azure AD.

Když zahájíte proces spojení, shromážděte následující požadavky:

• Používá se cloudová aplikace personálního oddělení k nastěhovování zaměstnanců i pracovních zaměstnanců, kteří se na to chystá?
• Plánujete používat cloudovou aplikaci personálního oddělení pro zřizování uživatelů Azure AD ke správě zaměstnanců i pracovních zaměstnanců s podmíněným přístupem?
• Plánujete cloudovou aplikaci personálního oddělení do zřizování uživatelů Azure AD zaplánovat jenom pro podmnožinu uživatelů cloudových hr aplikací? Příkladem můžou být jen zaměstnanci.

V závislosti na vašich požadavcích můžete při konfiguraci mapování atributů nastavit pole Rozsah zdrojového objektu a vybrat, které sady uživatelů v cloudové aplikaci HR by měly být v oboru zřizování pro Active Directory. Další informace najdete v kurzu cloudové aplikace HR pro běžně používané filtry oborů.

Určení odpovídajících atributů

Při zřizování získáte možnost spárovat existující účty mezi zdrojovým a cílovým systémem. Když integrujete cloudovou aplikaci hr se službou zřizování Azure AD, můžete nakonfigurovat mapování atributů, abyste zjistili, jaká uživatelská data by měla proudit z cloudové aplikace hr do Active Directory nebo Azure AD.

Když zahájíte proces spojení, shromážděte následující požadavky:

• Jaké je jedinečné ID v této cloudové aplikaci personálního oddělení, které se používá k identifikaci jednotlivých uživatelů?
• Jak se z hlediska životního cyklu identit řídíte znovu? Udržují si znovu id svých starých zaměstnanců?
• Zpracujete budoucí nájmu a vytvoříte pro ně účty Active Directory předem?
• Jak z hlediska životního cyklu identity zvládnete, jak zaměstnanec překončí převod pracovního procesu, nebo jinak?
• Mají převedení uživatelé staré účty Active Directory, nebo chují nové?

V závislosti na vašich požadavcích podporuje Azure AD přímé mapování atributů tím, že poskytuje konstantní hodnoty nebo zapisuje výrazy pro mapování atributů. Tato flexibilita vám dává konečnou kontrolu nad tím, co je naplněno atributem cílové aplikace. Pomocí rozhraní Microsoft Graph API a Graph Exploreru můžete exportovat mapování a schéma atributů zřizování uživatelů do souboru JSON a importovat je zpět do Azure AD.

Ve výchozím nastavení se atribut v cloudové aplikaci personálního oddělení, který představuje jedinečné ID zaměstnance, používá jako odpovídající atribut namapovaný na jedinečný atribut ve službě Active Directory. Například ve scénáři aplikace Workday se atribut Workday WorkerID mapuje na atribut employeeID služby Active Directory.

Můžete nastavit více odpovídajících atributů a přiřadit odpovídající prioritu. Vyhodnocují se podle odpovídající priority. Jakmile se shoda zjistí, nevyhodnocují se žádné další odpovídající atributy.

Můžete také přizpůsobit výchozí mapování atributů,například změnit nebo odstranit existující mapování atributů. Můžete také vytvořit nová mapování atributů podle vašich obchodních potřeb. Další informace najdete v kurzu cloudové aplikace personálního oddělení (například Workday),ve které najdete seznam vlastních atributů, které se mají namapovat.

Určení stavu uživatelského účtu

Aplikace zřizovacího konektoru ve výchozím nastavení mapuje stav profilu uživatele HR na stav uživatelského účtu ve službě Active Directory nebo Azure AD a určuje, jestli se má uživatelský účet povolit nebo zakázat.

Když zahájíte proces Joiners-Leavers, shromážděte následující požadavky.

V závislosti na vašich požadavcích můžete logiku mapování přizpůsobit pomocí výrazů Azure AD tak, aby byl účet Active Directory povolený nebo zakázaný na základě kombinace datových bodů.

Mapování cloudové aplikace HR na atributy uživatele Služby Active Directory

Každá cloudová aplikace personálního oddělení se dodává s výchozí cloudovou aplikací hr na mapování Služby Active Directory.

Když zahájíte proces Joiners-Movers-Leavers, shromážděte následující požadavky.

V závislosti na vašich požadavcích můžete mapování upravit tak, aby splňovala vaše cíle integrace. Další informace najdete v kurzu ke konkrétní cloudové aplikaci personálního oddělení (například Workday),ve které najdete seznam vlastních atributů, které se mají namapovat.

Vygenerování jedinečné hodnoty atributu

Když zahájíte proces joinerů, může být nutné vygenerovat jedinečné hodnoty atributů při nastavení atributů, jako jsou CN, samAccountName a HLAVNÍ NÁZEV UŽIVATELE, který má jedinečná omezení.

Funkce Azure AD SelectUniqueValues vyhodnotí každé pravidlo a pak zkontroluje jedinečnost vygenerované hodnoty v cílovém systému. Příklad najdete v tématu Vygenerování jedinečné hodnoty atributu userPrincipalName (UPN).

Konfigurace přiřazení kontejneru OU služby Active Directory

Běžným požadavkem je umístit uživatelské účty služby Active Directory do kontejnerů na základě obchodních jednotek, umístění a oddělení. Když zahájíte proces Movers a dojde ke změně organizace, možná budete muset přesunout uživatele z jedné organizační složky do jiné ve službě Active Directory.

Pomocí funkce Switch() nakonfigurujte obchodní logiku pro přiřazení organizační jednotky a namapujte ji na atribut Active Directory parentDistinguishedName.

Pokud například chcete vytvořit uživatele v OU na základě atributu HR Pro, můžete použít následující výraz:

Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")

Pokud má tento výraz hodnotu Dallas, Automaticky, Seattle nebo Londýn, uživatelský účet se vytvoří v odpovídající OU. Pokud se neshoduje, vytvoří se účet ve výchozí OU.

Plánování doručování hesel u nových uživatelských účtů

Když zahájíte proces spojení, musíte nastavit a doručit dočasné heslo nových uživatelských účtů. Se zřizováním uživatelů z HR v cloudu do Azure AD můžete pro uživatele v první den zacílíte možnost samoobslužného resetování hesla (SSPR) Azure AD.

SSPR je jednoduchý způsob, jak můžou správci IT uživatelům umožnit resetování hesel nebo odemknutí svých účtů. Můžete zřídit atribut Mobile Number z cloudové aplikace HR do Active Directory a synchronizovat ho s Azure AD. Jakmile je atribut Mobilní číslo ve službě Azure AD, můžete pro účet uživatele povolit SSPR. První den pak může nový uživatel k ověření použít zaregistrované a ověřené mobilní číslo. Podrobnosti o tom, jak předem vyplnit kontaktní informace pro ověřování, najdete v dokumentaci k SSPR.

Plánování počátečního cyklu

Když se služba zřizování Azure AD spustí poprvé, provede počáteční cyklus cloudové aplikace personálního oddělení, aby vytvořila snímek všech uživatelských objektů v cloudové aplikaci personálního oddělení. Doba ujetá počáteční cykly závisí přímo na tom, kolik uživatelů se nachází ve zdrojovém systému. Počáteční cyklus některých cloudových tenantů hr aplikací s více než 100 000 uživateli může trvat dlouhou dobu.

U velkých cloudových tenantů hr aplikací (>30 000 uživatelů) spusťte počáteční cyklus v progresivních fázích. Přírůstkové aktualizace spusťte až po ověření, že jsou ve službě Active Directory nastavené správné atributy pro různé scénáře zřizování uživatelů. Postupujte podle objednávky tady.

1. Spusťte počáteční cyklus pouze pro omezenou sadu uživatelů nastavením filtru oborů.
2. Ověřte zřizování účtu služby Active Directory a hodnoty atributů nastavené pro uživatele vybrané při prvním spuštění. Pokud výsledek splňuje vaše očekávání, rozbalte filtr oborů tak, aby postupně zahrnoval více uživatelů, a ověřte výsledky pro druhé spuštění.

Jakmile budete spokojeni s výsledky počátečního cyklu pro testovací uživatele, spusťte přírůstkové aktualizace.

Plánování testování a zabezpečení

V každé fázi nasazení od počátečního pilotního nasazení po povolení zřizování uživatelů se ujistěte, že testujete, že výsledky jsou podle očekávání, a auditujete cykly zřizování.

Plánování testování

Po konfiguraci cloudové aplikace hr na zřizování uživatelů Azure AD spusťte testovací případy, abyste ověřili, jestli toto řešení splňuje požadavky vaší organizace.

Pomocí předchozích výsledků můžete určit, jak na základě stanovených časových os převedoute implementaci automatického zřizování uživatelů do produkčního prostředí.

Plánování zabezpečení

V rámci nasazení nové služby je běžné, že se vyžaduje kontrola zabezpečení. Pokud je kontrola zabezpečení povinná nebo nebyla provedena, podívejte se na řadu dokumentů white paper služby Azure AD, které poskytují přehled o identitě jako službě.

Vrácení plánu zpět

Implementace zřizování uživatelů HR v cloudu nemusí v produkčním prostředí fungovat podle potřeby. Pokud ano, následující kroky vrácení zpět vám pomohou vrátit se do předchozího známého dobrého stavu.

1. Zkontrolujte souhrnnou sestavu zřizování a protokoly zřizování a zjistěte, které nesprávné operace se provedly u ovlivněných uživatelů nebo skupin. Další informace o souhrnné sestavě zřizování a protokolech najdete v tématu Správa zřizování uživatelů cloudových aplikací HR.
2. Poslední známý dobrý stav ovlivněných uživatelů nebo skupin se může určit prostřednictvím protokolů auditu zřizování nebo kontroly cílových systémů (Azure AD nebo Active Directory).
3. Spolupracujte s vlastníkem aplikace a aktualizujte uživatele nebo skupiny ovlivněné přímo v aplikaci pomocí posledních známých hodnot dobrého stavu.

Nasazení cloudové aplikace personálního oddělení

Vyberte aplikaci cloudového HR, která se zarovnává s požadavky na vaše řešení.

Workday: Pokud chcete importovat pracovní profily z Workday do služby Active Directory a Azure AD, přečtěte si kurz: Konfigurace pracovního dne pro Automatické zřizování uživatelů. Volitelně můžete napsat e-mailovou adresu, uživatelské jméno a telefonní číslo do Workday.

SAP SuccessFactors: Pokud chcete importovat profily pracovních procesů z SuccessFactors do služby Active Directory a Azure AD, přečtěte si téma kurz: konfigurace SAP SuccessFactors pro Automatické zřizování uživatelů. Volitelně můžete napsat e-mailovou adresu a uživatelské jméno pro SuccessFactors.

Správa konfigurace

Azure AD může poskytovat další poznatky k zřizování uživatelů a provoznímu stavu vaší organizace prostřednictvím protokolů auditu a sestav.

Získání přehledů ze sestav a protokolů

Po úspěšném počátečním cykluslužba zřizování Azure AD nadále spouští přírůstkové přírůstkové aktualizace po neomezenou dobu v intervalech definovaných v kurzech specifických pro jednotlivé aplikace, dokud nedojde k jedné z následujících událostí:

• Služba se ručně zastavila. nový počáteční cyklus se spustí pomocí Azure Portal nebo odpovídajícího příkazu Microsoft Graph API .
• V důsledku změny mapování atributů nebo filtrů oborů se aktivuje nový počáteční cyklus.
• Proces zřizování přejde do karantény z důvodu vysoké míry chyb. Zůstane v karanténě po dobu delší než čtyři týdny, kdy je automaticky zakázaná.

Pokud chcete zkontrolovat tyto události a všechny další aktivity prováděné službou zřizování, Naučte se kontrolovat protokoly a získávat sestavy pro aktivitu zřizování.

Protokoly služby Azure Monitor

Všechny aktivity prováděné službou zřizování se zaznamenávají v protokolech auditu Azure AD. Protokoly auditu Azure AD můžete směrovat do protokolů Azure Monitor k další analýze. Pomocí protokolů Azure Monitor (označuje se také jako Log Analytics pracovní prostor) můžete zadávat dotazy na data a vyhledávat události, analyzovat trendy a provádět korelace napříč různými zdroji dat. Podívejte se na toto video , kde se dozvíte o výhodách použití protokolů Azure monitor pro protokoly Azure AD v praktických scénářích uživatelů.

Nainstalujte zobrazení Log Analytics pro protokoly aktivit Azure AD , abyste získali přístup k předem vytvořeným sestavám , které se seznámí s událostmi zřizování ve vašem prostředí.

Další informace najdete v tématu Analýza protokolů aktivit Azure AD pomocí protokolů Azure monitor.

Správa osobních údajů

agent Azure AD Connect zřizování nainstalovaný na serveru Windows vytvoří protokoly v protokolu událostí Windows, který může obsahovat osobní údaje v závislosti na mapování atributů služby Active Directory v rámci vaší aplikace cloudového HR. chcete-li dodržovat závazky týkající se ochrany osobních údajů uživatele, nastavte Windows naplánovanou úlohu pro vymazání protokolu událostí a zajistěte, aby žádná data nebyla delší než 48 hodin.

Služba zřizování Azure AD negeneruje sestavy, provádí analýzy ani neposkytuje přehledy po dobu 30 dnů, protože služba neukládá, nezpracovává ani neuchovává žádná data déle než 30 dnů.

Řešení potíží

Chcete-li vyřešit všechny problémy, které se mohou během zřizování vypnout, přečtěte si následující články:

• Problém s konfigurací zřizování uživatelů pro aplikaci Galerie Azure AD
• Synchronizace atributu z místní služby Active Directory do Azure AD kvůli zřizování pro aplikaci
• při ukládání přihlašovacích údajů správce při konfiguraci zřizování uživatelů pro aplikaci galerie Azure Active Directory došlo k potížím.
• Pro aplikaci Galerie Azure AD se nezřídí žádní uživatelé.
• Pro aplikaci Galerie Azure AD se zřizuje nesprávná sada uživatelů.
• nastavení Prohlížeč událostí Windows pro řešení potíží s agentem
• Nastavení protokolů auditu Azure Portal pro řešení potíží se službou
• Porozumění protokolům pro operace vytvoření účtu uživatele služby AD
• Principy protokolů pro operace aktualizace pro správce
• Řešení běžně zjištěných chyb

Další kroky

• Zápis výrazů pro mapování atributů
• Přehled rozhraní API pro synchronizaci Azure AD
• Přeskočit odstranění uživatelských účtů, které přesahují rozsah
• Agent zřizování Azure AD Connect: historie verzí