Felhőalapú HR-alkalmazás megtervezése a Microsoft Entra felhasználói kiépítésére
Az informatikai személyzet korábban manuális módszerekre támaszkodott az alkalmazottak létrehozásához, frissítéséhez és törléséhez. Olyan módszereket használtak, mint például CSV-fájlok vagy egyéni szkriptek feltöltése az alkalmazottak adatainak szinkronizálásához. Ezek a kiépítési folyamatok hibalehetőségek, nem biztonságosak és nehezen kezelhetők.
Az alkalmazottak, szállítók vagy függő munkavállalók identitás-életciklusának kezeléséhez a Microsoft Entra felhasználói kiépítési szolgáltatás integrációt kínál a felhőalapú emberierőforrás-alkalmazásokkal. Ilyen alkalmazások például a Workday és a SuccessFactors.
A Microsoft Entra ID ezt az integrációt használja a következő felhőalapú HR-alkalmazások (alkalmazás)folyamatok engedélyezéséhez:
- Felhasználók kiépítése az Active Directoryba: Kijelölt felhasználói csoportok kiépítése egy felhőbeli HR-alkalmazásból egy vagy több Active Directory-tartományba.
- Csak felhőalapú felhasználók kiépítése a Microsoft Entra-azonosítóhoz: Olyan esetekben, amikor az Active Directoryt nem használják, a felhasználókat közvetlenül a felhőbeli HR-alkalmazásból a Microsoft Entra-azonosítóba kell kiépíteni.
- Visszaírás a felhőbeli HR-alkalmazásba: Írja vissza az e-mail-címeket és a felhasználónevettribútumokat a Microsoft Entra-ból a felhőalapú HR-alkalmazásba.
Az alábbi videó útmutatást nyújt a HR-alapú kiépítési integrációk tervezéséhez.
Feljegyzés
Ez az üzembe helyezési terv bemutatja, hogyan helyezheti üzembe a felhőalapú HR-alkalmazást a Microsoft Entra felhasználókiépítésével. Az automatikus felhasználói kiépítés szolgáltatásként (SaaS)-alkalmazásokban való üzembe helyezéséről további információt az automatikus felhasználókiépítési üzembe helyezés megtervezése című témakörben talál.
Engedélyezett HR-forgatókönyvek
A Microsoft Entra felhasználói kiépítési szolgáltatása a következő HR-alapú identitás-életciklus-kezelési forgatókönyvek automatizálását teszi lehetővé:
- Új alkalmazott felvétele: Az alkalmazott felvétele a felhőbeli HR-alkalmazásba automatikusan létrehoz egy felhasználót az Active Directoryban és a Microsoft Entra-azonosítóban. Felhasználói fiók hozzáadásakor lehetőség van az e-mail-cím és a felhasználónév attribútumainak visszaírására a felhőalapú HR-alkalmazásba.
- Alkalmazotti attribútumok és profilfrissítések: Ha egy alkalmazotti rekord, például a név, a cím vagy a felettes frissül a felhőbeli HR-alkalmazásban, a felhasználói fiók automatikusan frissül az Active Directoryban és a Microsoft Entra-azonosítóban.
- Alkalmazottak megszűnése: Ha egy alkalmazottat a felhőbeli HR-alkalmazásban szüntetnek meg, a felhasználói fiók automatikusan le lesz tiltva az Active Directoryban és a Microsoft Entra-azonosítóban.
- Alkalmazotti rehires: Ha egy alkalmazottat újraküld a felhőbeli HR-alkalmazásban, a régi fiókja automatikusan újraaktiválható vagy újra kiépíthető az Active Directory és a Microsoft Entra azonosítójára.
Kinek ideális ez az integráció?
A felhőalapú HR-alkalmazás a Microsoft Entra felhasználói kiépítésével való integrációja ideális azoknak a szervezeteknek, amelyek:
- Előre összeállított, felhőalapú megoldást szeretne a felhőalapú HR-felhasználók kiépítéséhez.
- Közvetlen felhasználói kiépítést igényel a felhőbeli HR-alkalmazásból az Active Directoryba vagy a Microsoft Entra-azonosítóba.
- A felhőbeli HR-alkalmazásból beszerzett adatokkal megkövetelheti a felhasználók kiépítését.
- A csatlakozó, mozgó és távozó felhasználók szinkronizálása. A szinkronizálás egy vagy több Active Directory-erdő, tartomány és szervezeti egység között történik, csak a felhőbeli HR-alkalmazásban észlelt változásadatok alapján.
- Használja a Microsoft 365-öt e-mailekhez.
Learn
A felhasználói kiépítés a folyamatos identitásszabályozás alapjait hozza létre. Javítja a mérvadó identitásadatokra támaszkodó üzleti folyamatok minőségét.
Feltételek
Ez a cikk a következő kifejezéseket használja:
- Forrásrendszer: Azon felhasználók adattára, amelyekből a Microsoft Entra ID ki van iktatva. Ilyen például egy felhőalapú HR-alkalmazás, például a Workday vagy a SuccessFactors.
- Célrendszer: Azon felhasználók adattára, amelyekre a Microsoft Entra ID ki van iktatva. Ilyenek például az Active Directory, a Microsoft Entra ID, a Microsoft 365 vagy más SaaS-alkalmazások.
- Joiners-Movers-Leavers folyamat: Az új alkalmazottak, átvitelek és felmondások kifejezése egy felhőbeli HR-alkalmazás rekordrendszerként való használatával. A folyamat akkor fejeződik be, ha a szolgáltatás sikeresen kiépíti a szükséges attribútumokat a célrendszerre.
Fő előnyök
A HR-alapú informatikai kiépítés ezen képessége a következő jelentős üzleti előnyöket nyújtja:
- A hatékonyság növelése: Mostantól automatizálhatja a felhasználói fiókok és a Microsoft 365-licencek hozzárendelését, és hozzáférést biztosíthat a kulcscsoportokhoz. A feladatok automatizálása azonnali hozzáférést biztosít az új alkalmazottaknak a munkaeszközökhöz, és növeli a termelékenységet.
- Kockázatkezelés: A biztonság növelése érdekében automatizálhatja az alkalmazottak állapota vagy a csoporttagság alapján végzett módosításokat. Ez az automatizálás biztosítja, hogy a felhasználói identitások és a kulcsalkalmazásokhoz való hozzáférés automatikusan frissüljön. Például egy frissítés a HR-alkalmazásban, amikor egy felhasználó automatikusan áttűnés vagy elhagyja a szervezeti folyamatokat.
- Megfelelőség és szabályozás kezelése: A Microsoft Entra ID támogatja a natív naplózást a forrás- és célrendszerek alkalmazásai által végrehajtott felhasználói kiépítési kérelmekhez. A naplózással nyomon követheti, hogy ki férhet hozzá az alkalmazásokhoz egyetlen képernyőn.
- Költség kezelése: Az automatikus kiépítés csökkenti a költségeket a manuális kiépítéssel kapcsolatos hatékonysági és emberi hibák elkerülésével. Ez csökkenti az örökölt és elavult platformok használatával idővel létrehozott egyéni fejlesztésű felhasználói kiépítési megoldások szükségességét.
Licencek
A felhőalapú HR-alkalmazás Microsoft Entra felhasználói kiépítési integrációra való konfigurálásához érvényes P1 vagy P2 Microsoft Entra-azonosítójú licencre , valamint a felhőbeli HR-alkalmazáshoz, például a Workday vagy a SuccessFactors licencre van szükség.
Érvényes Microsoft Entra-azonosítójú P1 vagy magasabb előfizetési licencre is szüksége van minden olyan felhasználóhoz, aki a felhőbeli HR-alkalmazásból származik, és az Active Directory vagy a Microsoft Entra-azonosítóra van kiépítve.
Az életciklus-munkafolyamatok és a kiépítési folyamat egyéb Microsoft Entra ID-kezelés funkcióinak használatához Microsoft Entra ID-kezelés licencre van szükség.
Előfeltételek
- Hibrid identitás Rendszergazda istrator szerepkör a Csatlakozás kiépítési ügynök konfigurálásához.
- Az alkalmazás Rendszergazda istrator szerepkör a kiépítési alkalmazás konfigurálásához.
- A felhőalapú HR-alkalmazás teszt- és éles példánya.
- Rendszergazda istrator-engedélyek a felhőbeli HR-alkalmazásban rendszerintegrációs felhasználó létrehozásához és az alkalmazottak adatainak tesztelési célokra történő teszteléséhez.
- Az Active Directoryba való felhasználókiépítéshez a Microsoft Entra Csatlakozás kiépítési ügynök üzemeltetéséhez Windows Server 2016 vagy újabb rendszert futtató kiszolgálóra van szükség. Ennek a kiszolgálónak az Active Directory felügyeleti réteg modelljén alapuló 0. szintű kiszolgálónak kell lennie.
- A Microsoft Entra Csatlakozás az Active Directory és a Microsoft Entra ID közötti felhasználók szinkronizálásához.
Képzési erőforrások
Megoldásarchitektúra
Az alábbi példa a végfelhasználói kiépítési megoldás architektúrát ismerteti a gyakori hibrid környezetekhez, és a következőket tartalmazza:
- Mérvadó HR-adatfolyam a felhőbeli HR-alkalmazásból az Active Directoryba. Ebben a folyamatban a HR-esemény (Joiners-Movers-Leavers folyamat) a felhőbeli HR-alkalmazás bérlőjében lesz elindítva. A Microsoft Entra kiépítési szolgáltatás és a Microsoft Entra Csatlakozás kiépítési ügynök kiépíti a felhasználói adatokat a felhőbeli HR-alkalmazás bérlője által az Active Directoryba. Az eseménytől függően a művelet az Active Directoryban való létrehozásához, frissítéséhez, engedélyezéséhez és letiltásához vezethet.
- Szinkronizálja a Microsoft Entra-azonosítót, és írja vissza az e-maileket és a felhasználónevet helyi Active Directory a felhőalapú HR-alkalmazásba. Miután frissítette a fiókokat az Active Directoryban, a Microsoft Entra-azonosítóval szinkronizálódik a Microsoft Entra Csatlakozás keresztül. Az e-mail-címek és a felhasználónév attribútumai visszaírhatók a felhőbeli HR-alkalmazás bérlőjére.
A kiépítési folyamat leírása
A diagram a következő főbb lépéseket mutatja be:
- A HR-csapat végrehajtja a tranzakciókat a felhőbeli HR-alkalmazás bérlőjében.
- A Microsoft Entra kiépítési szolgáltatás a felhőbeli HR-alkalmazás bérlőjén futtatja az ütemezett ciklusokat, és azonosítja az Active Directoryval való szinkronizáláshoz szükséges módosításokat.
- A Microsoft Entra kiépítési szolgáltatás meghívja a Microsoft Entra Csatlakozás kiépítési ügynököt egy olyan hasznos adatkéréssel, amely tartalmazza az Active Directory-fiók létrehozását, frissítését, engedélyezését és letiltását.
- A Microsoft Entra Csatlakozás kiépítési ügynök szolgáltatásfiókkal kezeli az Active Directory-fiók adatait.
- A Microsoft Entra Csatlakozás delta syncet futtat, hogy lekérje a frissítéseket az Active Directoryban.
- Az Active Directory-frissítések szinkronizálva vannak a Microsoft Entra-azonosítóval.
- A Microsoft Entra kiépítési szolgáltatás az e-mail attribútumot és a felhasználónevet a Microsoft Entra-azonosítóból a felhőbeli HR-alkalmazás bérlőjére írja vissza.
Az üzembehelyezési projekt megtervezése
Vegye figyelembe a szervezeti igényeket, miközben meghatározza az üzembe helyezés stratégiáját a környezetben.
A megfelelő érdekelt felek bevonása
Ha a technológiai projektek meghiúsulnak, általában a hatásokkal, az eredményekkel és a felelősségekkel kapcsolatos eltérő elvárások miatt teszik ezt. A buktatók elkerülése érdekében győződjön meg arról, hogy a megfelelő érdekelt feleket szeretné bevonni. Győződjön meg arról is, hogy a projektben szereplő érdekelt szerepkörök jól érthetők. Dokumentálja az érdekelt feleket, valamint a projektbemenetet és az elszámoltathatóságukat.
Vegye fel a HR-szervezet egyik képviselőjét, aki bemeneteket tud nyújtani a meglévő HR-üzleti folyamatokhoz és a feldolgozóidentitáshoz, valamint a feladatok adatfeldolgozási követelményeihez.
Kommunikáció tervezése
A kommunikáció kritikus fontosságú az új szolgáltatások sikeressége szempontjából. Proaktív kommunikáció a felhasználókkal arról, hogy mikor és hogyan változik a felhasználói élményük. Tudassa velük, hogyan nyerhetnek támogatást, ha problémákat tapasztalnak.
Próbaüzem megtervezása
A felhőbeli HR-alkalmazás hr-üzleti folyamatainak és identitáskezelési munkafolyamatainak a célrendszerekbe való integrálása jelentős mennyiségű adatérvényesítést, adatátalakítást, adattisztítást és teljes körű tesztelést igényel ahhoz, hogy éles környezetben üzembe helyezhesse a megoldást.
Futtassa a kezdeti konfigurációt egy próbakörnyezetben, mielőtt az éles környezetben lévő összes felhasználóra skálázna.
Felhőalapú HR-kiépítési összekötő-alkalmazások kiválasztása
A Microsoft Entra felhőbeli HR-alkalmazásból az Active Directoryba való kiépítésének megkönnyítése érdekében több kiépítési összekötő alkalmazást is hozzáadhat a Microsoft Entra alkalmazásgyűjteményéből:
- Felhőbeli HR-alkalmazás az Active Directory-felhasználók kiépítéséhez: Ez a kiépítési összekötő alkalmazás megkönnyíti a felhasználói fiókok kiépítését a felhőbeli HR-alkalmazásból egyetlen Active Directory-tartományba. Ha több tartománya van, az alkalmazás egy példányát a Microsoft Entra alkalmazáskatalógusából veheti fel minden olyan Active Directory-tartományhoz, amelybe ki kell építenie.
- Felhőalapú HR-alkalmazás a Microsoft Entra felhasználói kiépítéséhez: A Microsoft Entra Csatlakozás az eszköz, amellyel szinkronizálhatja a helyszíni Active Directoryt a Microsoft Entra-azonosítóval. A Cloud HR-alkalmazás a Microsoft Entra felhasználói kiépítéséhez egy összekötő, a kizárólag felhőalapú felhasználók felhőbeli HR-alkalmazásból egyetlen Microsoft Entra-bérlőre való kiépítéséhez használható.
- Felhőalapú HR-alkalmazás visszaírása: Ez a kiépítési összekötő alkalmazás megkönnyíti a felhasználó e-mail-címeinek visszaírását a Microsoft Entra ID-ból a felhőbeli HR-alkalmazásba.
Az alábbi képen például a Microsoft Entra alkalmazáskatalógusában elérhető Workday-összekötő alkalmazások láthatók.
Döntési folyamat diagramja
Az alábbi döntési folyamatábra segítségével megállapíthatja, hogy mely felhőbeli HR-kiépítési alkalmazások relevánsak az Ön forgatókönyvéhez.
A Microsoft Entra Csatlakozás kiépítési ügynök üzembehelyezési topológiájának megtervezése
A felhőalapú HR-alkalmazás és az Active Directory üzembe helyezési integrációja négy összetevőt igényel:
- Felhőbeli HR-alkalmazás bérlője
- Összekötő alkalmazás kiépítése
- Microsoft Entra Csatlakozás kiépítési ügynök
- Active Directory-tartomány
A Microsoft Entra Csatlakozás kiépítési ügynök üzembe helyezési topológiája az integrálni kívánt felhőbeli HR-alkalmazásbérlelők és Active Directory gyermektartományok számától függ. Ha több Active Directory-tartománnyal rendelkezik, az attól függ, hogy az Active Directory-tartományok egybefüggőek vagy különállóak-e.
A döntés alapján válasszon az üzembe helyezési forgatókönyvek közül:
- Egyetlen felhőbeli HR-alkalmazásbérlő –> egy vagy több Active Directory gyermektartományt célozhat meg egy megbízható erdőben
- Egyetlen felhőbeli HR-alkalmazásbérlő –> több gyermektartomány megcélzása egy különálló Active Directory-erdőben
Egyetlen felhőbeli HR-alkalmazásbérlő –> egy vagy több Active Directory gyermektartományt célozhat meg egy megbízható erdőben
A következő éles konfigurációt javasoljuk:
| Követelmény | Ajánlás |
|---|---|
| Az üzembe helyezendő Microsoft Entra Csatlakozás kiépítési ügynökök száma. | Kettő (magas rendelkezésre állás és feladatátvétel esetén). |
| Konfigurálni kívánt összekötőalkalmazások száma. | Gyermektartományonként egy alkalmazás. |
| A Microsoft Entra Csatlakozás kiépítési ügynök kiszolgálói állomása. | A Windows Server 2016 a földrajzilag áthelyezett Active Directory-tartományvezérlők látóvonalával. Együtt létezhet a Microsoft Entra Csatlakozás szolgáltatással. |
Egyetlen felhőbeli HR-alkalmazásbérlő –> több gyermektartomány megcélzása egy különálló Active Directory-erdőben
Ebben a forgatókönyvben felhasználókat kell kiépíteni a felhőbeli HR-alkalmazásból a különálló Active Directory-erdők tartományaiba.
A következő éles konfigurációt javasoljuk:
| Követelmény | Ajánlás |
|---|---|
| A Helyszíni üzembe helyezéshez szükséges Microsoft Entra Csatlakozás kiépítési ügynökök száma | Két különálló Active Directory-erdő. |
| Konfigurálni kívánt kiépítési összekötő-alkalmazások száma | Gyermektartományonként egy alkalmazás. |
| A Microsoft Entra Csatlakozás kiépítési ügynök kiszolgálói állomása. | A Windows Server 2016 a földrajzilag áthelyezett Active Directory-tartományvezérlők látóvonalával. Együtt létezhet a Microsoft Entra Csatlakozás szolgáltatással. |
A Microsoft Entra Csatlakozás kiépítési ügynökkel kapcsolatos követelmények
Az Active Directory-beli felhőbeli HR-alkalmazáshoz egy vagy több Microsoft Entra Csatlakozás kiépítési ügynök üzembe helyezésére van szükség. Ezeket az ügynököket Windows Server 2016 vagy újabb rendszerű kiszolgálókon kell üzembe helyezni. A kiszolgálóknak legalább 4 GB RAM-mal és .NET 4.7.1+ futtatókörnyezetsel kell rendelkezniük. Győződjön meg arról, hogy a gazdakiszolgáló hálózati hozzáféréssel rendelkezik a cél Active Directory-tartományhoz.
A helyszíni környezet előkészítéséhez a Microsoft Entra Csatlakozás kiépítési ügynök konfigurációs varázslója regisztrálja az ügynököt a Microsoft Entra-bérlőnél, megnyitja a portokat, engedélyezi az URL-címek elérését, és támogatja a kimenő HTTPS-proxykonfigurációt.
A kiépítési ügynök egy globális felügyelt szolgáltatásfiókot (GMSA) konfigurál az Active Directory-tartományokkal való kommunikációhoz.
Kiválaszthatja azokat a tartományvezérlőket, amelyeknek kezelnie kell a kiépítési kérelmeket. Ha több földrajzilag elosztott tartományvezérlővel rendelkezik, telepítse a kiépítési ügynököt az előnyben részesített tartományvezérlőkkel megegyező helyre. Ez a pozicionálás javítja a végpontok közötti megoldás megbízhatóságát és teljesítményét.
A magas rendelkezésre állás érdekében több Microsoft Entra Csatlakozás kiépítési ügynököt is üzembe helyezhet. Regisztrálja az ügynököt, hogy azonos helyi Active Directory tartományokat kezeljen.
HR-kiépítési alkalmazás üzembehelyezési topológiája tervezése
A bejövő felhasználók kiépítési konfigurációjában részt vevő Active Directory-tartományok számától függően az alábbi üzembehelyezési topológiák egyikét is figyelembe veheti. Minden topológiadiagram egy példa üzembe helyezési forgatókönyvet használ a konfigurációs szempontok kiemeléséhez. Az igényeinek megfelelő konfiguráció meghatározásához használja az üzembe helyezési követelményhez szorosan hasonlító példát.
Üzembe helyezési topológia első: Egyetlen alkalmazás, amely minden felhasználót kiépíteni a Cloud HR-ből egyetlen helyi Active Directory tartományba
Az üzembe helyezési topológia a leggyakoribb üzembehelyezési topológia. Használja ezt a topológiát, ha az összes felhasználót a Cloud HR-ből egyetlen AD-tartományba kell kiépítenie, és minden felhasználóra ugyanazok a kiépítési szabályok vonatkoznak.
Salient konfigurációs szempontok
- Állíts be két kiépítési ügynökcsomópontot a magas rendelkezésre álláshoz és a feladatátvételhez.
- A kiépítési ügynök konfigurációs varázslójával regisztrálhatja az AD-tartományt a Microsoft Entra-bérlőben.
- A kiépítési alkalmazás konfigurálásakor válassza ki az AD-tartományt a regisztrált tartományok legördülő listájából.
- Ha hatókörkezelési szűrőket használ, konfigurálja a hatókör törlési jelzőjének kihagyását a fiók véletlen inaktiválásának megakadályozása érdekében.
Második üzembe helyezési topológia: Alkalmazások elkülönítése különálló felhasználói csoportok kiépítéséhez a Cloud HR-ről egyetlen helyi Active Directory tartományra
Ez a topológia olyan üzleti követelményeket támogat, amelyekben az attribútumleképezés és a kiépítési logika a felhasználó típusa (alkalmazott/alvállalkozó), a felhasználói hely vagy a felhasználó üzleti egysége alapján eltérő. Ezzel a topológiával delegálhatja a bejövő felhasználók kiépítésének felügyeletét és karbantartását az osztás vagy az ország/régió alapján.
Salient konfigurációs szempontok
- Állíts be két kiépítési ügynökcsomópontot a magas rendelkezésre álláshoz és a feladatátvételhez.
- Hozzon létre egy HR2AD kiépítési alkalmazást minden egyes kiépíteni kívánt különálló felhasználói csoporthoz.
- Az egyes alkalmazások feldolgozásához használjon hatókörszűrőket a kiépítési alkalmazásban.
- Abban a forgatókönyvben, amikor a vezetőhivatkozásokat különböző felhasználói csoportokra kell feloldani, hozzon létre egy külön HR2AD kiépítési alkalmazást. A alvállalkozók például az alkalmazottaknak szóló vezetőknek jelentenek. A különálló alkalmazással csak a manager attribútumot frissítheti. Az alkalmazás hatókörének beállítása az összes felhasználóra.
- Konfigurálja a hatókör törlési jelzőjének kihagyását a fiók véletlen inaktiválásának megakadályozása érdekében.
Feljegyzés
Ha nem rendelkezik teszt AD-tartománnyal, és az AD-ben egy TEST OU-tárolót használ, akkor ezt a topológiát használhatja két különálló HR2AD (Prod) és HR2AD (Teszt) alkalmazás létrehozásához. A HR2AD (Test) alkalmazással tesztelheti az attribútumleképezés módosításait, mielőtt előlépteti azt a HR2AD (Prod) alkalmazásba.
Három üzembe helyezési topológia: Különálló alkalmazások, amelyek különböző felhasználói csoportokat építenek ki a Cloud HR-ből több helyi Active Directory tartományba (tartományközi láthatóság nélkül)
A harmadik topológiával több független, ugyanahhoz az erdőhöz tartozó gyermek AD-tartományt kezelhet. Győződjön meg arról, hogy a kezelők mindig ugyanabban a tartományban vannak, mint a felhasználó. Győződjön meg arról is, hogy az olyan attribútumok egyedi azonosító-létrehozási szabályai, mint a userPrincipalName, a samAccountName és a levelezés , nem igényelnek erdőszintű keresést. A három topológia rugalmasan delegálja az egyes kiépítési feladatok felügyeletét tartományhatárok szerint.
Például: A diagramon a kiépítési alkalmazások az egyes földrajzi régiókhoz vannak beállítva: Észak-Amerika (NA), Európa, Közel-Kelet és Afrika (EMEA) és a Csendes-óceán ázsia (APAC). A helytől függően a felhasználók ki vannak építve a megfelelő AD-tartományba. A kiépítési alkalmazás delegált felügyelete lehetővé teszi, hogy az EMEA-rendszergazdák önállóan felügyelhessék az EMEA-régióhoz tartozó felhasználók kiépítési konfigurációját.
Salient konfigurációs szempontok
- Állíts be két kiépítési ügynökcsomópontot a magas rendelkezésre álláshoz és a feladatátvételhez.
- A kiépítési ügynök konfigurációs varázslójával regisztrálhatja az összes gyermek AD-tartományt a Microsoft Entra-bérlőben.
- Hozzon létre egy külön HR2AD-kiépítési alkalmazást minden céltartományhoz.
- A kiépítési alkalmazás konfigurálásakor válassza ki a megfelelő gyermek AD-tartományt az elérhető AD-tartományok legördülő listájából.
- A kiépítési alkalmazásban hatókörszűrők használatával határozhatja meg az egyes alkalmazások által feldolgozandó felhasználókat.
- Konfigurálja a hatókör törlési jelzőjének kihagyását a fiók véletlen inaktiválásának megakadályozása érdekében.
Negyedik üzembehelyezési topológia: Az alkalmazások elkülönítése különböző felhasználói csoportok kiépítéséhez a felhőbeli HR-ről több helyi Active Directory tartományra (tartományok közötti láthatóság mellett)
A 4. topológiával több független, ugyanahhoz az erdőhöz tartozó gyermek AD-tartományt kezelhet. Előfordulhat, hogy egy felhasználó felettese egy másik tartományban található. Emellett az olyan attribútumok egyedi azonosító-létrehozási szabályaihoz, mint a userPrincipalName, a samAccountName és a mail , erdőszintű keresésre van szükség.
Például: A diagramon a kiépítési alkalmazások az egyes földrajzi régiókhoz vannak beállítva: Észak-Amerika (NA), Európa, Közel-Kelet és Afrika (EMEA) és a Csendes-óceán ázsia (APAC). A helytől függően a felhasználók ki vannak építve a megfelelő AD-tartományba. A tartományok közötti referenciákat és az erdőszintű kereséseket úgy kezeli a rendszer, hogy engedélyezi az átirányítást a kiépítési ügynökön.
Salient konfigurációs szempontok
- Állíts be két kiépítési ügynökcsomópontot a magas rendelkezésre álláshoz és a feladatátvételhez.
- Konfigurálja a kiépítési ügynökre irányuló átirányítást .
- A kiépítési ügynök konfigurációs varázslójával regisztrálhatja a szülő AD-tartományt és az összes gyermek AD-tartományt a Microsoft Entra-bérlőben.
- Hozzon létre egy külön HR2AD-kiépítési alkalmazást minden céltartományhoz.
- Az egyes kiépítési alkalmazások konfigurálásakor válassza ki a szülő AD-tartományt az elérhető AD-tartományok legördülő listájából. A szülőtartomány kiválasztása biztosítja az erdőszintű keresést, miközben egyedi értékeket hoz létre olyan attribútumokhoz, mint a userPrincipalName, a samAccountName és a mail.
- A parentDistinguishedName kifejezésleképezéssel dinamikusan hozza létre a felhasználót a megfelelő gyermektartományban és szervezeti egység tárolójában.
- A kiépítési alkalmazásban hatókörszűrők használatával határozhatja meg az egyes alkalmazások által feldolgozandó felhasználókat.
- A tartományok közötti referenciák feloldásához hozzon létre egy külön HR2AD kiépítési alkalmazást, amely csak a kezelő attribútumának frissítésére használható. Az alkalmazás hatókörének beállítása az összes felhasználóra.
- Konfigurálja a hatókör törlési jelzőjének kihagyását a fiók véletlen inaktiválásának megakadályozása érdekében.
5. üzembe helyezési topológia: Egyetlen alkalmazás az összes felhasználó felhőbeli HR-ből több helyi Active Directory tartományba való kiépítéséhez (tartományok közötti láthatóság mellett)
Ezt a topológiát akkor használja, ha egyetlen kiépítési alkalmazással szeretné kezelni az összes szülő- és gyermek AD-tartományhoz tartozó felhasználókat. Ez a topológia akkor ajánlott, ha a kiépítési szabályok minden tartományban konzisztensek, és nincs szükség a kiépítési feladatok delegált felügyeletére. Ez a topológia támogatja a tartományok közötti referenciák feloldását, és erdőszintű egyediség-ellenőrzést végezhet.
Például: A diagramon egyetlen kiépítési alkalmazás kezeli a régiónként csoportosított három különböző gyermektartományban lévő felhasználókat: Észak-Amerika (NA), Európa, Közel-Kelet és Afrika (EMEA) és a Csendes-óceáni Ázsia (APAC). A parentDistinguishedName attribútumleképezésével dinamikusan hozhat létre felhasználót a megfelelő gyermektartományban. A tartományok közötti referenciákat és az erdőszintű kereséseket úgy kezeli a rendszer, hogy engedélyezi az átirányítást a kiépítési ügynökön.
Salient konfigurációs szempontok
- Állíts be két kiépítési ügynökcsomópontot a magas rendelkezésre álláshoz és a feladatátvételhez.
- Konfigurálja a kiépítési ügynökre irányuló átirányítást .
- A kiépítési ügynök konfigurációs varázslójával regisztrálhatja a szülő AD-tartományt és az összes gyermek AD-tartományt a Microsoft Entra-bérlőben.
- Hozzon létre egyetlen HR2AD-kiépítési alkalmazást a teljes erdő számára.
- A kiépítési alkalmazás konfigurálásakor válassza ki a szülő AD-tartományt az elérhető AD-tartományok legördülő listájából. A szülőtartomány kiválasztása biztosítja az erdőszintű keresést, miközben egyedi értékeket hoz létre olyan attribútumokhoz, mint a userPrincipalName, a samAccountName és a mail.
- A parentDistinguishedName kifejezésleképezéssel dinamikusan hozza létre a felhasználót a megfelelő gyermektartományban és szervezeti egység tárolójában.
- Ha hatókörkezelési szűrőket használ, konfigurálja a hatókör törlési jelzőjének kihagyását a fiók véletlen inaktiválásának megakadályozása érdekében.
Üzembe helyezési topológia 6: Különálló alkalmazások, amelyek különböző felhasználókat építenek ki a Cloud HR-ből a leválasztott helyi Active Directory erdőkbe
Ezt a topológiát akkor használja, ha az informatikai infrastruktúra leválasztotta/szétválasztotta az AD-erdőket, és a felhasználókat különböző erdőkbe kell kiépítenie az üzleti kapcsolat alapján. Például: A contoso leányvállalatnál dolgozó felhasználókat ki kell helyezni a contoso.com tartományba, míg a fabrikam leányvállalatnál dolgozó felhasználókat a fabrikam.com tartományba kell kiépíteni.
Salient konfigurációs szempontok
- Állíts be két különböző kiépítési ügynököt a magas rendelkezésre álláshoz és a feladatátvételhez, egyet minden erdőhöz.
- Hozzon létre két különböző kiépítési alkalmazást, egyet minden erdőhöz.
- Ha tartományközi hivatkozásokat kell feloldania az erdőben, engedélyezze az átirányítást a kiépítési ügynökön.
- Hozzon létre egy külön HR2AD kiépítési alkalmazást minden leválasztott erdőhöz.
- Az egyes kiépítési alkalmazások konfigurálásakor válassza ki a megfelelő szülő AD-tartományt az elérhető AD-tartománynevek legördülő listájából.
- Konfigurálja a hatókör törlési jelzőjének kihagyását a fiók véletlen inaktiválásának megakadályozása érdekében.
7. üzembe helyezési topológia: Különálló alkalmazások, amelyek különböző felhasználókat építenek ki több felhőbeli HR-ről a leválasztott helyi Active Directory erdőkre
A nagy szervezetekben nem ritka, hogy több HR-rendszer van. Az üzleti M&A (egyesülések és felvásárlások) során előfordulhat, hogy több HR-forráshoz kell csatlakoztatnia a helyi Active Directory. A topológiát akkor javasoljuk, ha több HR-forrással rendelkezik, és ezekből a HR-forrásokból származó identitásadatokat ugyanazon vagy különböző helyi Active Directory tartományokba szeretné csatornázni.
Salient konfigurációs szempontok
- Állíts be két különböző kiépítési ügynököt a magas rendelkezésre álláshoz és a feladatátvételhez, egyet minden erdőhöz.
- Ha tartományközi hivatkozásokat kell feloldania az erdőben, engedélyezze az átirányítást a kiépítési ügynökön.
- Hozzon létre egy külön HR2AD kiépítési alkalmazást minden HR-rendszerhez és helyi Active Directory kombinációhoz.
- Az egyes kiépítési alkalmazások konfigurálásakor válassza ki a megfelelő szülő AD-tartományt az elérhető AD-tartománynevek legördülő listájából.
- Konfigurálja a hatókör törlési jelzőjének kihagyását a fiók véletlen inaktiválásának megakadályozása érdekében.
Hatókörkezelési szűrők és attribútumleképezés tervezése
Ha engedélyezi a felhőbeli HR-alkalmazásból az Active Directoryba vagy a Microsoft Entra ID-be történő kiépítést, az Azure Portal attribútumleképezéssel vezérli az attribútumértékeket.
Hatókörszűrők definiálása
Hatókörszűrők használatával definiálhatja azokat az attribútumalapú szabályokat, amelyek meghatározzák, hogy mely felhasználókat kell kiépíteni a felhőbeli HR-alkalmazásból az Active Directoryba vagy a Microsoft Entra-azonosítóba.
Az Illesztők folyamat indításakor gyűjtse össze a következő követelményeket:
- A felhőalapú HR-alkalmazás az alkalmazottak és a függő munkavállalók számára is használható?
- Tervezi, hogy a felhőalapú HR-alkalmazást használja a Microsoft Entra felhasználói kiépítéséhez az alkalmazottak és a függő munkavállalók kezeléséhez?
- Tervezi, hogy a felhőalapú HR-alkalmazást csak a felhőbeli HR-alkalmazás felhasználóinak egy részhalmaza számára építi ki a Microsoft Entra-felhasználó számára? Példa lehet csak alkalmazottakra.
A követelményektől függően az attribútumleképezések konfigurálásakor beállíthatja a Forrásobjektum hatóköre mezőt, hogy meghatározza, hogy a felhőbeli HR-alkalmazás mely felhasználói csoportjai legyenek hatókörben az Active Directoryba való kiépítéshez. További információkért tekintse meg a felhőalapú HR-alkalmazás oktatóanyagát a gyakran használt hatókörszűrőkről.
Egyező attribútumok meghatározása
A kiépítés lehetővé teszi a meglévő fiókok egyezését a forrás és a célrendszer között. Amikor integrálja a felhőalapú HR-alkalmazást a Microsoft Entra kiépítési szolgáltatással, attribútumleképezést konfigurálhat annak meghatározására, hogy a felhőbeli HR-alkalmazásból milyen felhasználói adatok kerüljenek át az Active Directoryba vagy a Microsoft Entra-azonosítóba.
Az Illesztők folyamat indításakor gyűjtse össze a következő követelményeket:
- Mi az egyedi azonosító ebben a felhőbeli HR-alkalmazásban, amely az egyes felhasználók azonosítására szolgál?
- Identitáséletciklus szempontjából hogyan kezeli a rehireseket? Megtartják a régi alkalmazotti azonosítójukat a rehiresek?
- Feldolgozzák a jövőbeli alkalmazottakat, és előre létrehoznak számukra Active Directory-fiókokat?
- Az identitás életciklusa szempontjából hogyan kezeli az alkalmazottat a függő feldolgozók átalakítására, vagy más módon?
- A konvertált felhasználók megtartják a régi Active Directory-fiókjukat, vagy újakat kapnak?
A követelményektől függően a Microsoft Entra ID támogatja a közvetlen attribútum-attribútumleképezést azáltal, hogy állandó értékeket ad meg, vagy kifejezéseket ír az attribútumleképezésekhez. Ezzel a rugalmasságkal teljes mértékben szabályozhatja a célzott alkalmazásattribútumban található adatokat. A Microsoft Graph API-val és a Graph Explorerrel exportálhatja a felhasználói kiépítési attribútumleképezéseket és -sémákat egy JSON-fájlba, és importálhatja azt a Microsoft Entra-azonosítóba.
Alapértelmezés szerint a felhőbeli HR-alkalmazásban az egyedi alkalmazotti azonosítót képviselő attribútumot használja a rendszer az Active Directory egyedi attribútumához hozzárendelt egyező attribútumként. A Workday alkalmazás forgatókönyvében például a WorkdayWorkerID attribútum az Active Directory employeeID attribútumához van leképezve.
Több egyező attribútumot is beállíthat, és hozzárendelhet egyező elsőbbséget. A kiértékelés az egyező sorrend alapján történik. Amint talál egyezést, a rendszer nem értékeli ki a további egyező attribútumokat.
Testre is szabhatja az alapértelmezett attribútumleképezéseket, például módosíthatja vagy törölheti a meglévő attribútumleképezéseket. Az üzleti igényeknek megfelelően új attribútumleképezéseket is létrehozhat. További információkért tekintse meg a felhőalapú HR-alkalmazás oktatóanyagát (például a Workdayt) a megfeleltetendő egyéni attribútumok listájáról.
Felhasználói fiók állapotának meghatározása
Alapértelmezés szerint a kiépítési összekötő alkalmazás leképezi a HR felhasználói profil állapotát a felhasználói fiók állapotára. Az állapot határozza meg, hogy engedélyezi vagy letiltja-e a felhasználói fiókot.
Amikor elindítja az Joiners-Leavers folyamatot, gyűjtse össze a következő követelményeket.
| Feldolgozás | Követelmények |
|---|---|
| Asztalos | Identitáséletciklus szempontjából hogyan kezeli a rehireseket? Megtartják a régi alkalmazotti azonosítójukat a rehiresek? |
| Feldolgozzák a jövőbeli alkalmazottakat, és előre létrehoznak számukra Active Directory-fiókokat? Ezek a fiókok engedélyezett vagy letiltott állapotban vannak létrehozva? | |
| Az identitás életciklusa szempontjából hogyan kezeli az alkalmazottat a függő feldolgozók átalakítására, vagy más módon? | |
| A konvertált felhasználók megtartják a régi Active Directory-fiókjukat, vagy újakat kapnak? | |
| Eltávozók | Eltérően kezelik a felmondásokat az Active Directoryban dolgozó alkalmazottak és függő munkavállalók esetében? |
| Milyen érvényes dátumokat kell figyelembe venni a felhasználói megszüntetés feldolgozásához? | |
| Hogyan befolyásolják az alkalmazottak és a függő feldolgozók konvertálása a meglévő Active Directory-fiókokat? | |
| Hogyan dolgozza fel a visszavont műveletet az Active Directoryban? Az elállási műveleteket akkor kell kezelni, ha a jövőbeli dátummal megadott alkalmazottak az Active Directoryban jönnek létre az Joiner folyamat részeként. |
A követelményektől függően testre szabhatja a leképezési logikát a Microsoft Entra-kifejezések használatával, hogy az Active Directory-fiók engedélyezve legyen vagy le legyen tiltva az adatpontok kombinációja alapján.
Felhőbeli HR-alkalmazás leképezése Active Directory-felhasználói attribútumokra
Minden felhőbeli HR-alkalmazás alapértelmezett felhőalapú HR-alkalmazással irányítja át az Active Directory-leképezéseket.
Amikor elindítja az Joiners-Movers-Leavers folyamatot, gyűjtse össze az alábbi követelményeket.
| Feldolgozás | Követelmények |
|---|---|
| Asztalos | Az Active Directory-fiók létrehozásának folyamata manuális, automatizált vagy részben automatizált? |
| Tervezi az egyéni attribútumok propagálását a felhőbeli HR-alkalmazásból az Active Directoryba? | |
| Mozgatói | Milyen attribútumokat szeretne feldolgozni, amikor egy Movers-művelet a felhőbeli HR-alkalmazásban történik? |
| Végez valamilyen konkrét attribútumérvényesítést a felhasználói frissítések idején? Ha igen, adja meg a részleteket. | |
| Eltávozók | Eltérően kezelik a felmondásokat az Active Directoryban dolgozó alkalmazottak és függő munkavállalók esetében? |
| Milyen érvényes dátumokat kell figyelembe venni a felhasználói megszüntetés feldolgozásához? | |
| Hogyan befolyásolják az alkalmazottak és a függő feldolgozók konvertálása a meglévő Active Directory-fiókokat? |
A követelményektől függően módosíthatja a leképezéseket, hogy megfeleljenek az integrációs céloknak. További információkért tekintse meg a felhőbeli HR-alkalmazás adott oktatóanyagát (például a Workdayt) a megfeleltetendő egyéni attribútumok listájáról.
Egyedi attribútumérték létrehozása
Az olyan attribútumok, mint a CN, a samAccountName és az UPN egyedi korlátozásokkal rendelkeznek. Előfordulhat, hogy az Illesztők folyamat indításakor egyedi attribútumértékeket kell létrehoznia.
A SelectUniqueValues Microsoft Entra ID függvény kiértékeli az egyes szabályokat, majd ellenőrzi a létrehozott értéket, hogy egyedi legyen a célrendszerben. Példa: Egyedi érték létrehozása a userPrincipalName (UPN) attribútumhoz.
Feljegyzés
Ez a függvény jelenleg csak a Workday–Active Directory és az SAP SuccessFactors esetében támogatott az Active Directory-felhasználók kiépítéséhez. Más kiépítési alkalmazásokkal nem használható.
Active Directory szervezeti egység tároló-hozzárendelésének konfigurálása
Gyakori követelmény az Active Directory felhasználói fiókok tárolókba helyezése üzleti egységek, helyek és részlegek alapján. Amikor kezdeményez egy áthelyezési folyamatot, és ha egy felügyeleti szervezet megváltozik, előfordulhat, hogy át kell helyeznie a felhasználót az egyik szervezeti egységből a másikba az Active Directoryban.
A Switch() függvénnyel konfigurálhatja a szervezeti egység hozzárendelésének üzleti logikáját, és leképezheti a parentDistinguishedName Active Directory attribútumra.
Ha például az Önkormányzat HR attribútum alapján szeretne felhasználókat létrehozni a szervezeti egységben, a következő kifejezést használhatja:
Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")
Ezzel a kifejezéssel, ha az Önkormányzat értéke Dallas, Austin, Seattle vagy London, akkor a felhasználói fiók a megfelelő szervezeti egységben jön létre. Ha nincs egyezés, akkor a fiók az alapértelmezett szervezeti egységben jön létre.
Új felhasználói fiókok jelszókézbesítésének megtervezése
Amikor elindítja az Illesztők folyamatot, új felhasználói fiókok ideiglenes jelszavát kell beállítania és kézbesítenie. A felhőbeli HR és a Microsoft Entra felhasználói kiépítésével az első napon üzembe helyezheti a Microsoft Entra ID önkiszolgáló jelszó-visszaállítási (SSPR) funkcióját a felhasználó számára.
Az SSPR egyszerű eszköz a rendszergazdák számára, hogy lehetővé tegyék a felhasználók számára a jelszavak alaphelyzetbe állítását vagy a fiókok zárolásának feloldását. A Mobile Number attribútumot kiépítheti a felhőbeli HR-alkalmazásból az Active Directoryba, és szinkronizálhatja a Microsoft Entra-azonosítóval. Miután a Mobile Number attribútum a Microsoft Entra ID-ban van, engedélyezheti az SSPR-t a felhasználó fiókjához. Ezután az első napon az új felhasználó használhatja a regisztrált és ellenőrzött mobilszámot a hitelesítéshez. A hitelesítési kapcsolattartási adatok előzetes feltöltésével kapcsolatos részletekért tekintse meg az SSPR dokumentációját .
Kezdeti ciklus tervezése
Amikor a Microsoft Entra kiépítési szolgáltatás első alkalommal fut, egy kezdeti ciklust hajt végre a felhőbeli HR-alkalmazáson, hogy pillanatképet hozzon létre a felhőbeli HR-alkalmazásban lévő összes felhasználói objektumról. A kezdeti ciklusok időtartama közvetlenül attól függ, hogy hány felhasználó van jelen a forrásrendszerben. A több mint 100 000 felhasználóval rendelkező felhőbeli HR-alkalmazás bérlőinek kezdeti ciklusa hosszú időt vehet igénybe.
Nagy felhőbeli HR-alkalmazásbérlõk (>30 000 felhasználó) esetén futtassa a kezdeti ciklust progresszív szakaszokban. Csak akkor indítsa el a növekményes frissítéseket, ha ellenőrzi, hogy a megfelelő attribútumok be vannak-e állítva az Active Directoryban a különböző felhasználói kiépítési forgatókönyvekhez. Kövesse az itt található sorrendet.
- Futtassa a kezdeti ciklust csak korlátozott számú felhasználó esetén a hatókörszűrő beállításával.
- Ellenőrizze az Active Directory-fiókok kiépítését és az első futtatásra kijelölt felhasználók attribútumértékeinek beállítását. Ha az eredmény megfelel az elvárásainak, bontsa ki a hatókörszűrőt, hogy fokozatosan több felhasználót is bevonjon, és ellenőrizze az eredményeket a második futtatás során.
Miután elégedett a tesztfelhasználók kezdeti ciklusának eredményeivel, indítsa el a növekményes frissítéseket.
Tesztelés és biztonság tervezése
Az üzembe helyezés a kezdeti próbaüzemtől a felhasználó üzembe helyezésének engedélyezéséig terjedő szakaszokból áll. Minden szakaszban győződjön meg arról, hogy a várt eredményeket teszteli. Emellett a kiépítési ciklusok naplózása.
Tesztelés megtervezve
Miután konfigurálta a felhőbeli HR-alkalmazást a Microsoft Entra felhasználói kiépítésére, futtassa a teszteseteket annak ellenőrzéséhez, hogy ez a megoldás megfelel-e a szervezet követelményeinek.
| Forgatókönyvek | Várt eredmények |
|---|---|
| Az új alkalmazottat a felhőbeli HR-alkalmazásban kell felvenni. | – A felhasználói fiók ki van építve az Active Directoryban.– A felhasználó bejelentkezhet az Active Directory-tartományi alkalmazásokba, és végrehajthatja a kívánt műveleteket.- Ha a Microsoft Entra Csatlakozás Sync konfigurálva van, a felhasználói fiók a Microsoft Entra-azonosítóban is létrejön. |
| A felhasználó leáll a felhőbeli HR-alkalmazásban. | – A felhasználói fiók le van tiltva az Active Directoryban.– A felhasználó nem tud bejelentkezni az Active Directory által védett vállalati alkalmazásokba. |
| A felhasználói felügyeleti szervezet frissül a felhőbeli HR-alkalmazásban. | Az attribútumleképezés alapján a felhasználói fiók átkerül az egyik szervezeti egységből a másikba az Active Directoryban. |
| A HR frissíti a felhasználó felettesét a felhőbeli HR-alkalmazásban. | Az Active Directory kezelőmezője frissül, hogy tükrözze az új vezető nevét. |
| A HR új szerepkörbe alakítja át az alkalmazottat. | A viselkedés attól függ, hogy a felhőalapú HR-alkalmazás hogyan van konfigurálva az alkalmazottak azonosítóinak létrehozásához. Ha a régi alkalmazotti azonosítót egy újrakéredett alkalmazotthoz használja, az összekötő engedélyezi a meglévő Active Directory-fiókot a felhasználó számára. Ha az újrahirdetett alkalmazott új alkalmazotti azonosítót kap, az összekötő létrehoz egy új Active Directory-fiókot a felhasználó számára. |
| A HR átalakítja az alkalmazottat szerződéses dolgozóvá, vagy fordítva. | Létrejön egy új Active Directory-fiók az új személyhez, és a régi fiók le lesz tiltva a konvertálás érvénybe lépésének napján. |
Az előző eredmények alapján meghatározhatja, hogyan alakíthatja át az automatikus felhasználói kiépítés implementációját éles környezetbe a létrehozott ütemtervek alapján.
Tipp.
Használjon olyan technikákat, mint az adatcsökkentés és az adattisztítás, amikor éles adatokkal frissíti a tesztkörnyezetet a bizalmas személyes adatok eltávolításához vagy maszkolásához az adatvédelmi és biztonsági szabványoknak való megfelelés érdekében.
Biztonság megtervezve
Gyakori, hogy biztonsági felülvizsgálatra van szükség egy új szolgáltatás üzembe helyezésének részeként. Ha biztonsági felülvizsgálatra van szükség, vagy még nem végezték el, tekintse meg a Microsoft Entra id számos tanulmányát , amelyek áttekintést nyújtanak az identitásról szolgáltatásként.
Terv visszaállítása
Előfordulhat, hogy a felhőbeli HR-felhasználók kiépítési implementációja nem működik a kívánt módon az éles környezetben. Ha igen, az alábbi visszaállítási lépések segíthetnek a korábbi ismert jó állapotra való visszatérésben.
- Tekintse át a kiépítési naplókat annak megállapításához, hogy milyen helytelen műveleteket hajtottak végre az érintett felhasználókon vagy csoportokon. A kiépítési összefoglaló jelentéssel és naplókkal kapcsolatos további információkért tekintse meg a felhőbeli HR-alkalmazások felhasználói kiépítésének kezelését ismertető témakört.
- Az érintett felhasználók vagy csoportok utolsó ismert jó állapota a kiépítési auditnaplókkal vagy a célrendszerek (Microsoft Entra ID vagy Active Directory) áttekintésével határozható meg.
- Az alkalmazás tulajdonosával együttműködve frissítse az alkalmazásban közvetlenül érintett felhasználókat vagy csoportokat az utolsó ismert jó állapotértékek használatával.
A felhőalapú HR-alkalmazás üzembe helyezése
Válassza ki a megoldási követelményeknek megfelelő felhőalapú HR-alkalmazást.
Workday: A munkavégző profilok Workdayből az Active Directoryba és a Microsoft Entra-azonosítóba való importálásához tekintse meg az oktatóanyagot: A Workday konfigurálása automatikus felhasználókiépítéshez. Igény szerint visszaírhatja az e-mail-címet, a felhasználónevet és a telefonszámot a Workdaybe.
SAP SuccessFactors: A SuccessFactorsből az Active Directoryba és a Microsoft Entra-azonosítóba importálhatja a feldolgozói profilokat: Oktatóanyag: Az SAP SuccessFactors konfigurálása automatikus felhasználókiépítéshez. Igény szerint visszaírhatja az e-mail-címet és a felhasználónevet a SuccessFactorsnak.
A konfiguráció kezelése
A Microsoft Entra ID naplózási naplókon és jelentéseken keresztül további betekintést nyújt a szervezet felhasználói kiépítési használatába és működési állapotába.
Elemzések készítése jelentésekből és naplókból
A sikeres kezdeti ciklus után a Microsoft Entra kiépítési szolgáltatás továbbra is korlátlan ideig futtatja a vissza-vissza növekményes frissítéseket az egyes alkalmazásokra vonatkozó oktatóanyagokban meghatározott időközönként, amíg az alábbi események egyike nem következik be:
- A szolgáltatás manuálisan le van állítva. Az új kezdeti ciklus a Microsoft Entra felügyeleti központ vagy a megfelelő Microsoft Graph API-parancs használatával aktiválódik.
- Az attribútumleképezések vagy hatókörszűrők változása miatt egy új kezdeti ciklus aktiválódik.
- A kiépítési folyamat magas hibaarány miatt karanténba kerül. Több mint négy hétig karanténban marad, ekkor automatikusan le van tiltva.
Ezen események és a kiépítési szolgáltatás által végzett összes egyéb tevékenység áttekintéséhez ismerje meg, hogyan tekintheti át a naplókat, és hogyan kérhet le jelentéseket a kiépítési tevékenységről.
Azure Monitor-naplók
A kiépítési szolgáltatás által végzett összes tevékenység a Microsoft Entra auditnaplóiban lesz rögzítve. További elemzés céljából átirányíthatja a Microsoft Entra auditnaplóit az Azure Monitor naplóiba. Az Azure Monitor-naplókkal (más néven Log Analytics-munkaterülettel) adatokat kérdezhet le az események megkereséséhez, a trendek elemzéséhez és a különböző adatforrások közötti korreláció végrehajtásához. Ebből a videóból megismerheti az Azure Monitor-naplók Microsoft Entra-naplókhoz való használatának előnyeit gyakorlati felhasználói helyzetekben.
Telepítse a Microsoft Entra tevékenységnaplóihoz tartozó naplóelemzési nézeteket , hogy hozzáférést kapjon a környezetbeli kiépítési eseményekhez kapcsolódó előre összeállított jelentésekhez .
További információkért tekintse meg, hogyan elemezheti a Microsoft Entra tevékenységnaplóit az Azure Monitor-naplókkal.
Személyes adatok kezelése
A Windows-kiszolgálón telepített Microsoft Entra Csatlakozás kiépítési ügynök olyan naplókat hoz létre a Windows eseménynaplójában, amelyek a felhőbeli HR-alkalmazástól az Active Directory-attribútumleképezésekig személyes adatokat tartalmazhatnak. A felhasználói adatvédelmi kötelezettségek teljesítéséhez állítson be egy windowsos ütemezett feladatot az eseménynapló törléséhez, és győződjön meg arról, hogy 48 órán túl egyetlen adat sem marad meg.
A Microsoft Entra kiépítési szolgáltatás nem hoz létre jelentéseket, nem végez elemzéseket, és nem ad 30 napnál tovább elemzéseket, mert a szolgáltatás 30 napnál tovább nem tárol, dolgoz fel és nem tárol adatokat.
Hibaelhárítás
A kiépítés során felmerülő problémák elhárításához tekintse meg az alábbi cikkeket:
- Probléma a felhasználókiépítés Microsoft Entra Gallery-alkalmazásba való konfigurálásával
- Attribútum szinkronizálása a helyi Active Directory a Microsoft Entra-azonosítóval az alkalmazásba való kiépítéshez
- Probléma a rendszergazdai hitelesítő adatok mentésével a felhasználók Microsoft Entra Gallery-alkalmazásba való üzembe helyezésének konfigurálása során
- Nem építenek ki felhasználókat a Microsoft Entra Gallery alkalmazásba
- Nem megfelelő felhasználókat építenek ki egy Microsoft Entra Gallery-alkalmazásba
- A Windows Eseménynapló beállítása ügynökkel kapcsolatos hibaelhárításhoz
- Naplózási naplók beállítása a szolgáltatás hibaelhárításához
- Az AD felhasználói fiók létrehozási műveleteinek naplóinak ismertetése
- A Manager frissítési műveleteinek naplóinak ismertetése
- Gyakori hibák elhárítása