HR-toepassing in de cloud plannen voor Azure Active Directory inrichting van gebruikers
In het verleden gebruikten IT-medewerkers handmatige methoden voor het maken, bijwerken en verwijderen van medewerkers. Ze gebruikten methoden zoals het uploaden van CSV-bestanden of aangepaste scripts om gegevens van werknemers te synchroniseren. Deze inrichtingsprocessen zijn foutgevoelig, onveilig en moeilijk te beheren.
Voor het beheren van de identiteitslevenscycli van werknemers, leveranciers of tijdelijke werknemers, biedt de Azure Active Directory (Azure AD)-gebruikersinrichtingsservice integratie met human resources (HR)-toepassingen in de cloud. Voorbeelden van toepassingen zijn Workday of SuccessFactors.
Azure AD gebruikt deze integratie om de volgende workflows voor de HR-toepassing (app) in de cloud in te schakelen:
- Gebruikers inrichten op Active Directory: U kunt bepaalde sets gebruikers van een HR-app in de cloud in een of meer Active Directory-domeinen inrichten.
- Alleen-cloud gebruikers inrichten op Azure AD: In scenario's waarin Active Directory niet wordt gebruikt, dient u gebruikers rechtstreeks vanuit de cloud-HR-app in te richten op Azure AD.
- Terugschrijven naar de cloud-HR-app: Schrijf de e-mailadressen en de kenmerken van de gebruikersnamen van Azure AD terug naar de cloud-HR-app.
Notitie
In dit implementatieplan ziet u hoe u de werkstromen van uw HR-app in de cloud implementeert met het inrichten van Azure AD-gebruikers. Zie Een automatische implementatie van gebruikers inrichten plannen voor informatie over het implementeren van automatische inrichting van gebruikers in SaaS-apps (Software as a Service).
Ingeschakelde HR-scenario's
Met de Azure AD-gebruikersinrichtingsservice kunnen de volgende HR-scenario's voor beheer van identiteitslevenscycli worden geautomatiseerd:
- Nieuwe werknemer aannemen: Wanneer een nieuwe werknemer wordt toegevoegd aan de cloud-HR-app, wordt er automatisch een gebruikersaccount gemaakt in Active Directory en Azure AD met de optie om het e-mailadres en de kenmerken van de gebruikersnaam terug te schrijven naar de cloud-HR-app.
- Updates van kenmerken en profielen van werknemers: Wanneer een werknemersrecord, zoals naam, titel of manager, wordt bijgewerkt in de cloud-HR-app, wordt het gebruikersaccount automatisch bijgewerkt in Active Directory en Azure AD.
- Beëindiging van dienstverband: Wanneer een dienstverband wordt beëindigd in de cloud-HR-app, wordt het gebruikersaccount automatisch uitgeschakeld in Active Directory en Azure AD.
- Werknemers opnieuw in dienst genomen: Wanneer een werknemer in de cloud-HR-app opnieuw wordt aangenomen, kan het oude account automatisch opnieuw worden geactiveerd of opnieuw worden ingericht voor Active Directory en Azure AD.
Voor wie is deze integratie het meest geschikt?
De integratie van de cloud-HR-app met Azure AD-gebruikersinrichting is ideaal voor organisaties die:
- Een vooraf ontwikkelde cloud-oplossing willen voor cloud-HR-gebruikersinrichting.
- Rechtstreekse gebruikersinrichting nodig hebben van de cloud-HR-app naar Active Directory of Azure AD.
- Vereisen dat gebruikers worden ingericht met behulp van gegevens die zijn verkregen uit de cloud-HR-app.
- Vereisen dat gebruikers die erbij komen, verhuizen of vertrekken worden gesynchroniseerd met een of meer Active Directory-forests, -domeinen en OE’s op basis van wijzigingsinformatie die is gedetecteerd in de cloud-HR-app.
- Gebruik Microsoft 365 voor e-mail.
Learn
Het inrichten van gebruikers vormt een basis voor doorlopend identiteitsbeheer. Het verbetert de kwaliteit van bedrijfsprocessen die afhankelijk zijn van gezaghebbende identiteitsgegevens.
Termen
In dit artikel worden de volgende termen gebruikt:
- Bronsysteem: de opslagplaats van gebruikers waar Azure AD voor zorgt. Een voorbeeld is een HR-app in de cloud, zoals Workday of SuccessFactors.
- Doelsysteem: de opslagplaats van gebruikers waar De Azure AD voor zorgt. Voorbeelden zijn Active Directory, Azure AD, Microsoft 365 saas-apps of andere SaaS-apps.
- Joiners-Movers-Leavers-proces: een term die wordt gebruikt voor nieuwe medewerkers, overdrachten en beëindiging met behulp van een CLOUD HR-app als een systeem van records. Het proces wordt voltooid wanneer de service de benodigde kenmerken voor het doelsysteem in richt.
Belangrijkste voordelen
Deze mogelijkheid van HR-aangestuurde IT-inrichting biedt de volgende belangrijke zakelijke voordelen:
- Productiviteit verhogen: U kunt nu de toewijzing van gebruikersaccounts en Microsoft 365 automatiseren en toegang verlenen tot sleutelgroepen. Als u toewijzingen automatiseert, krijgen nieuwe medewerkers direct toegang tot de hulpprogramma's voor hun werk en wordt de productiviteit verhoogd.
- Risico’s beheren: U kunt de beveiliging verbeteren door wijzigingen te automatiseren op basis van de status van werknemers of groepslidmaatschappen met gegevens die binnenstromen vanuit de cloud-HR-app. Als u wijzigingen automatiseert, zorgt u ervoor dat gebruikersidentiteiten en toegang tot belangrijke apps automatisch worden bijgewerkt wanneer gebruikers overstappen of de organisatie verlaten.
- Naleving en governance aanpakken: Azure AD biedt ondersteuning voor systeemeigen auditlogboeken voor aanvragen voor gebruikersinrichting die worden uitgevoerd door apps van zowel de bron- als doelsystemen. Tijdens het controleren kunt u vanaf één scherm bijhouden wie toegang heeft tot de apps.
- Kosten beheren: Automatische inrichting vermindert de kosten door inefficiëntie en menselijke fouten te voorkomen die gerelateerd zijn aan handmatige inrichting. Het vermindert de behoefte aan aangepaste, op maat ontwikkelde oplossingen voor gebruikersinrichting die in de loop van de tijd zijn gebouwd met behulp van verouderde platforms.
Licentieverlening
Als u de CLOUD HR-app wilt configureren voor integratie van Azure AD-gebruikers inrichten, hebt u een geldige Azure AD Premium-licentie en een licentie voor de HR-app in de cloud nodig, zoals Workday of SuccessFactors.
U hebt ook een geldige Azure AD Premium P1 of een hogere abonnementslicentie nodig voor elke gebruiker die afkomstig is uit de HR-app in de cloud en wordt ingericht voor Active Directory of Azure AD. Een onjuist aantal licenties dat eigendom is van de HR-app in de cloud kan leiden tot fouten tijdens het inrichten van gebruikers.
Vereisten
- Azure AD Hybrid Identity Administrator voor het configureren van de Azure AD Verbinding maken inrichtingsagent.
- Azure AD-toepassingsbeheerderrol voor het configureren van de inrichtings-app in de Azure Portal
- Een test- en productie-exemplaar van de HR-app in de cloud.
- Beheerdersmachtigingen in de HR-app in de cloud om een systeemintegratiegebruiker te maken en wijzigingen aan te brengen in het testen van werknemersgegevens voor testdoeleinden.
- Voor het inrichten van gebruikers voor Active Directory is een server met Windows Server 2016 of hoger vereist voor het hosten van de Azure AD Verbinding maken inrichtingsagent. Deze server moet een laag 0-server zijn op basis van het Active Directory-beheerlaagmodel.
- Azure AD Verbinding maken voor het synchroniseren van gebruikers tussen Active Directory en Azure AD.
Trainingsbronnen
Architectuur voor de oplossing
In het volgende voorbeeld wordt de architectuur van de end-to-end-oplossing voor het inrichten van gebruikers voor algemene hybride omgevingen beschreven, waaronder:
- Gezaghebbende HR-gegevensstroom van hr-app in de cloud naar Active Directory. In deze stroom wordt de HR-gebeurtenis (proces Joiners-Movers-Leavers) geïnitieerd in de hr-app-tenant van de cloud. De Azure AD-inrichtingsservice en de Azure AD-Verbinding maken inrichtingsagent leveren de gebruikersgegevens van de hr-app-tenant in de cloud in Active Directory. Afhankelijk van de gebeurtenis kan dit leiden tot het maken, bijwerken, inschakelen en uitschakelen van bewerkingen in Active Directory.
- Synchroniseer met Azure AD en schrijf e-mail en gebruikersnaam terug van on-premises Active Directory naar de HR-app in de cloud. Nadat de accounts zijn bijgewerkt in Active Directory, worden deze gesynchroniseerd met Azure AD via Azure AD Verbinding maken. De e-mailadressen en gebruikersnaamkenmerken kunnen worden teruggeschreven naar de tenant van de HR-app in de cloud.
Beschrijving van de werkstroom
De volgende belangrijke stappen worden in het diagram aangegeven:
- Het HR-team voert de transacties uit in de hr-app-tenant van de cloud.
- Azure AD-inrichtingsservice voert de geplande cycli uit vanuit de tenant van de HR-app in de cloud en identificeert wijzigingen die moeten worden verwerkt voor synchronisatie met Active Directory.
- De Azure AD-inrichtingsservice roept de Azure AD Verbinding maken inrichtingsagent aan met een nettolading van de aanvraag die bewerkingen voor het maken, bijwerken, inschakelen en uitschakelen van een Active Directory-account bevat.
- Azure AD Verbinding maken inrichtingsagent gebruikt een serviceaccount voor het beheren van Active Directory-accountgegevens.
- Azure AD Verbinding maken deltasynchronisatie uitgevoerd om updates op te halen in Active Directory.
- Active Directory-updates worden gesynchroniseerd met Azure AD.
- De Azure AD-inrichtingsservice schrijft het e-mailkenmerk en de gebruikersnaam terug van Azure AD naar de hr-app-tenant in de cloud.
Het implementatieproject plannen
Houd rekening met de behoeften van uw organisatie terwijl u de strategie voor deze implementatie in uw omgeving bepaalt.
De juiste belanghebbenden betrekken
Wanneer technologieprojecten mislukken, doen ze dit meestal vanwege niet-overeenkomende verwachtingen over impact, resultaten en verantwoordelijkheden. Om deze valkuilen te voorkomen, moet u ervoor zorgen dat u de juiste belanghebbenden in de arm hebt. Zorg er ook voor dat de rollen van belanghebbenden in het project goed worden begrepen. Documenteren van de belanghebbenden en hun projectinvoer en accountmogelijkheden.
Neem een vertegenwoordiger van de HR-organisatie op die input kan leveren voor bestaande HR-bedrijfsprocessen en werkidentiteiten plus vereisten voor de verwerking van taakgegevens.
De communicatie plannen
Communicatie is essentieel voor het succes van elke nieuwe service. Proactief communiceren met uw gebruikers over wanneer en hoe hun ervaring zal veranderen. Laat ze weten hoe ze ondersteuning kunnen krijgen als ze problemen ervaren.
Een pilot plannen
Voor de integratie van HR-bedrijfsprocessen en identiteitswerkstromen van de CLOUD HR-app naar doelsystemen is een aanzienlijke hoeveelheid gegevensvalidatie, gegevenstransformatie, gegevens opschoning en end-to-end testen vereist voordat u de oplossing in productie kunt implementeren.
Voer de eerste configuratie uit in een testomgeving voordat u deze schaalt naar alle gebruikers in de productieomgeving.
Connector-apps voor HR-inrichting in de cloud selecteren
Om het inrichten van Azure AD-werkstromen tussen de HR-cloud-app en Active Directory mogelijk te maken, kunt u meerdere connector-apps voor inrichting toevoegen vanuit de Azure AD-app-galerie:
- Cloud HR-app voor het inrichten van Active Directory-gebruikers: deze connector-app voor inrichting vergemakkelijkt het inrichten van gebruikersaccounts vanuit de CLOUD HR-app naar één Active Directory-domein. Als u meerdere domeinen hebt, kunt u één exemplaar van deze app toevoegen vanuit de Azure AD-app-galerie voor elk Active Directory-domein dat u moet inrichten.
- Cloud HR-app voor het inrichten van Azure AD-gebruikers: Hoewel Azure AD Verbinding maken het hulpprogramma is dat moet worden gebruikt om Active Directory-gebruikers te synchroniseren met Azure AD, kan deze connector-app voor inrichting worden gebruikt om het inrichten van cloudgebruikers vanuit de CLOUD HR-app naar één Azure AD-tenant te vergemakkelijken.
- Terugschrijven van CLOUD HR-app: met deze connector-app voor inrichting kunt u de e-mailadressen van de gebruiker terugschrijven van Azure AD naar de HR-app in de cloud.
In de volgende afbeelding worden bijvoorbeeld de Workday-connector-apps vermeld die beschikbaar zijn in de Azure AD-app-galerie.
Beslissingsstroomdiagram
Gebruik de volgende beslissingsstroomgrafiek om te bepalen welke cloud-apps voor HR-inrichting relevant zijn voor uw scenario.
De implementatietopologie van Verbinding maken Azure AD-inrichtingsagent ontwerpen
De inrichtingsintegratie tussen de CLOUD HR-app en Active Directory vereist vier onderdelen:
- Cloud HR-app-tenant
- Connector-app inrichten
- Azure AD Verbinding maken inrichtingsagent
- Active Directory-domein
De implementatietopologie van Verbinding maken Azure AD-inrichtingsagent is afhankelijk van het aantal cloud-HR-app-tenants en onderliggende Active Directory-domeinen die u wilt integreren. Als u meerdere Active Directory-domeinen hebt, is dit afhankelijk van of de Active Directory-domeinen aaneengesloten of niet-aaneengesloten zijn.
Kies op basis van uw beslissing een van de implementatiescenario's:
- Een HR-app-tenant in één cloud - > één of meerdere onderliggende Active Directory-domeinen in een vertrouwd forest
- Hr-app-tenant in één cloud - > gericht op meerdere onderliggende domeinen in een niet-aaneengemaakt Active Directory-forest
Een HR-app-tenant in één cloud - > één of meerdere onderliggende Active Directory-domeinen in een vertrouwd forest
We raden de volgende productieconfiguratie aan:
| Vereiste | Aanbeveling |
|---|---|
| Aantal Azure AD-Verbinding maken inrichtingsagents dat moet worden geïmplementeerd | Twee (voor hoge beschikbaarheid en failover) |
| Aantal connector-apps voor inrichting dat moet worden geconfigureerd | Eén app per onderliggend domein |
| Serverhost voor Azure AD Verbinding maken inrichtingsagent | Windows Server 2016 regel met zicht op Active Directory-domeincontrollers met geografische locatieKan naast Azure AD-Verbinding maken service |
Hr-app-tenant in één cloud - > gericht op meerdere onderliggende domeinen in een niet-aaneengemaakt Active Directory-forest
Dit scenario omvat het inrichten van gebruikers van de CLOUD HR-app naar domeinen in niet-aaneengelende Active Directory-forests.
We raden de volgende productieconfiguratie aan:
| Vereiste | Aanbeveling |
|---|---|
| Aantal Azure AD-Verbinding maken inrichtingsagents om on-premises te implementeren | Twee per niet-aaneen toevoegend Active Directory-forest |
| Aantal connector-apps voor inrichting dat moet worden geconfigureerd | Eén app per onderliggend domein |
| Serverhost voor Azure AD Verbinding maken inrichtingsagent | Windows Server 2016 regel met zicht op Active Directory-domeincontrollers met geografische locatieKan naast Azure AD-Verbinding maken service |
Vereisten voor azure AD Verbinding maken inrichtingsagent
Voor de cloud-HR-app voor het inrichten van Active Directory-gebruikers moet u een of meer Azure AD Verbinding maken-inrichtingsagents implementeren op servers waarop Windows Server 2016 of hoger wordt uitgevoerd. De servers moeten minimaal 4 GB RAM- en .NET 4.7.1+-runtime hebben. Zorg ervoor dat de hostserver netwerktoegang heeft tot het Active Directory-doeldomein.
Ter voorbereiding van de on-premises omgeving registreert de configuratiewizard van de Azure AD Verbinding maken-inrichtingsagent de agent bij uw Azure AD-tenant, opent poorten,geeft toegang tot URL's toe en ondersteunt de configuratie van de uitgaande HTTPS-proxy.
De inrichtingsagent configureert een GMSA (Global Managed Service Account) om te communiceren met de Active Directory-domeinen. Als u een niet-GMSA-serviceaccount wilt gebruiken voor het inrichten, kunt u de GMSA-configuratie overslaan en uw serviceaccount opgeven tijdens de configuratie.
U kunt domeincontrollers selecteren die inrichtingsaanvragen moeten verwerken. Als u meerdere geografisch gedistribueerde domeincontrollers hebt, installeert u de inrichtingsagent op dezelfde site als uw voorkeursdomeincontrollers. Deze positie verbetert de betrouwbaarheid en prestaties van de end-to-end-oplossing.
Voor hoge beschikbaarheid kunt u meer dan één Azure AD-Verbinding maken inrichtingsagent implementeren. Registreer de agent voor het afhandelen van dezelfde set on-premises Active Directory domeinen.
Implementatietopologie voor HR-inrichtingsapp ontwerpen
Afhankelijk van het aantal Active Directory-domeinen dat betrokken is bij de configuratie voor het inrichten van binnenkomende gebruikers, kunt u een van de volgende implementatie-topologies overwegen. Elk topologiediagram maakt gebruik van een voorbeeld van een implementatiescenario om configuratieaspecten te markeren. Gebruik het voorbeeld dat lijkt op uw implementatievereiste om te bepalen welke configuratie aan uw behoeften voldoet.
Implementatietopologie 1: Eén app voor het inrichten van alle gebruikers van Cloud HR naar een on-premises Active Directory domein
Dit is de meest voorkomende implementatietopologie. Gebruik deze topologie als u alle gebruikers van Cloud HR wilt inrichten in één AD-domein en dezelfde inrichtingsregels van toepassing zijn op alle gebruikers.
Opvallende configuratieaspecten
- Stel twee inrichtingsagentknooppunten in voor hoge beschikbaarheid en failover.
- Gebruik de configuratiewizard voor de inrichtingsagent om uw AD-domein te registreren bij uw Azure AD-tenant.
- Wanneer u de inrichtings-app configureert, selecteert u het AD-domein in de vervolgkeuzekeuzepabel van geregistreerde domeinen.
- Als u bereikfilters gebruikt, configureert u de vlag Verwijderingen van bereik overslaan om onbedoelde accountactiveringen te voorkomen.
Implementatietopologie 2: Afzonderlijke apps voor het inrichten van afzonderlijke gebruikerssets van Cloud HR naar één on-premises Active Directory domein
Deze topologie ondersteunt bedrijfsvereisten waarbij kenmerktoewijzing en inrichtingslogica verschillen op basis van het gebruikerstype (werknemer/contractant), de gebruikerslocatie of de bedrijfseenheid van de gebruiker. U kunt deze topologie ook gebruiken voor het delegeren van het beheer en onderhoud van inkomende gebruikers inrichten op basis van divisie of land.
Opvallende configuratieaspecten
- Stel twee inrichtingsagentknooppunten in voor hoge beschikbaarheid en failover.
- Maak een HR2AD-inrichtings-app voor elke afzonderlijke gebruikersset die u wilt inrichten.
- Gebruik bereikfilters in de inrichtings-app om te definiëren welke gebruikers door elke app moeten worden verwerkt.
- Voor het afhandelen van het scenario waarin verwijzingen van managers moeten worden opgelost in verschillende gebruikerssets (bijvoorbeeld contractanten die rapporteren aan managers die werknemers zijn), kunt u een afzonderlijke HR2AD-inrichtings-app maken voor het bijwerken van alleen het kenmerk manager. Stel het bereik van deze app in op alle gebruikers.
- De vlag Skip out of scope deletions configureren om onopzettelijke accountdeactivaties te voorkomen.
Notitie
Als u geen TEST AD-domein hebt en een TEST OE-container in AD gebruikt, kunt u deze topologie gebruiken om twee afzonderlijke apps te maken: HR2AD (Prod) en HR2AD (Test). Gebruik de APP HR2AD (Test) om wijzigingen in de kenmerktoewijzing te testen voordat u deze promoveert naar de HR2AD-app (Prod).
Implementatietopologie 3: Apps scheiden voor het inrichten van afzonderlijke gebruikerssets van Cloud HR naar meerdere on-premises Active Directory-domeinen (geen zichtbaarheid van meerdere domeinen)
Gebruik deze topologie voor het beheren van meerdere onafhankelijke onderliggende AD-domeinen die tot hetzelfde forest behoren, als managers altijd in hetzelfde domein als de gebruiker bestaan en uw unieke regels voor het genereren van id's voor kenmerken zoals userPrincipalName, samAccountName en mail geen zoekactie voor het hele forest vereisen. Het biedt ook de flexibiliteit van het delegeren van het beheer van elke inrichtings job per domeingrens.
Bijvoorbeeld: in het onderstaande diagram worden de inrichtings-apps ingesteld voor elke geografische regio: Noord-Amerika (NA), Europa, Midden-Oosten en Afrika (EMEA) en Azië en Stille Oceaan (APAC). Afhankelijk van de locatie worden gebruikers ingericht voor het respectieve AD-domein. Gedelegeerd beheer van de inrichtings-app is mogelijk, zodat EMEA-beheerders de inrichtingsconfiguratie van gebruikers die tot de EMEA-regio behoren, onafhankelijk kunnen beheren.
Opvallende configuratieaspecten
- Stel twee inrichtingsagentknooppunten in voor hoge beschikbaarheid en failover.
- Gebruik de configuratiewizard voor de inrichtingsagent om alle onderliggende AD-domeinen te registreren bij uw Azure AD-tenant.
- Maak een afzonderlijke HR2AD-inrichtings-app voor elk doeldomein.
- Wanneer u de inrichtings-app configureert, selecteert u het desbetreffende onderliggende AD-domein in de vervolgkeuzekeuzepabel van de beschikbare AD-domeinen.
- Gebruik bereikfilters in de inrichtings-app om te definiëren welke gebruikers door elke app moeten worden verwerkt.
- De vlag Skip out of scope deletions configureren om onopzettelijke accountdeactivaties te voorkomen.
Implementatietopologie 4: Apps scheiden om afzonderlijke gebruikerssets van Cloud HR in te on-premises Active Directory meerdere on-premises Active Directory-domeinen (met zichtbaarheid van meerdere domeinen)
Gebruik deze topologie voor het beheren van meerdere onafhankelijke onderliggende AD-domeinen die tot hetzelfde forest behoren, als de manager van een gebruiker in het andere domein kan bestaan en uw unieke regels voor het genereren van id's voor kenmerken zoals userPrincipalName, samAccountName en mail een forestbrede zoekactie vereisen.
Bijvoorbeeld: in het onderstaande diagram worden de inrichtings-apps ingesteld voor elke geografische regio: Noord-Amerika (NA), Europa, Midden-Oosten en Afrika (EMEA) en Azië en Stille Oceaan (APAC). Afhankelijk van de locatie worden gebruikers ingericht voor het respectieve AD-domein. Verwijzingen naar meerdere domeinen en zoeken in het hele forest worden afgehandeld door verwijzingsverwijdering in te stellen op de inrichtingsagent.
Opvallende configuratieaspecten
- Stel twee inrichtingsagentknooppunten in voor hoge beschikbaarheid en failover.
- Configureer verwijzingsverwijzing op de inrichtingsagent.
- Gebruik de configuratiewizard voor de inrichtingsagent om het bovenliggende AD-domein en alle onderliggende AD-domeinen te registreren bij uw Azure AD-tenant.
- Maak een afzonderlijke HR2AD-inrichtings-app voor elk doeldomein.
- Wanneer u elke inrichtings-app configureert, selecteert u het bovenliggende AD-domein in de vervolgkeuzekeuzepabel van beschikbare AD-domeinen. Dit zorgt ervoor dat de hele forest wordt opzoekt terwijl er unieke waarden worden gegenereerd voor kenmerken zoals userPrincipalName, samAccountName en mail.
- Gebruik parentDistinguishedName met expressietoewijzing om dynamisch een gebruiker te maken in het juiste onderliggende domein en de juiste OE-container.
- Gebruik bereikfilters in de inrichtings-app om te definiëren welke gebruikers door elke app moeten worden verwerkt.
- Als u verwijzingen voor meerdere domeinbeheerders wilt oplossen, maakt u een afzonderlijke HR2AD-inrichtings-app voor het bijwerken van alleen het kenmerk manager. Stel het bereik van deze app in op alle gebruikers.
- De vlag Skip out of scope deletions configureren om onopzettelijke accountdeactivaties te voorkomen.
Implementatietopologie 5: Eén app voor het inrichten van alle gebruikers van Cloud HR naar meerdere on-premises Active Directory-domeinen (met zichtbaarheid van meerdere domeinen)
Gebruik deze topologie als u één inrichtings-app wilt gebruiken om gebruikers te beheren die tot al uw bovenliggende en onderliggende AD-domeinen behoren. Deze topologie wordt aanbevolen als inrichtingsregels consistent zijn in alle domeinen en er geen gedelegeerd beheer van inrichtingstaken nodig is. Deze topologie ondersteunt het oplossen van verwijzingen naar meerdere domeinen en kan de uniekheidscontrole voor het hele forest uitvoeren.
Bijvoorbeeld: in het onderstaande diagram beheert één inrichtings-app gebruikers in drie verschillende onderliggende domeinen gegroepeerd per regio: Noord-Amerika (NA), Europe, Midden-Oosten en Afrika (EMEA) en Azië en Stille Oceaan (APAC). De kenmerktoewijzing voor parentDistinguishedName wordt gebruikt om dynamisch een gebruiker te maken in het juiste onderliggende domein. Verwijzingen naar meerdere domeinen en zoeken in het hele forest worden afgehandeld door verwijzingsverwijdering in te stellen op de inrichtingsagent.
Opvallende configuratieaspecten
- Stel twee inrichtingsagentknooppunten in voor hoge beschikbaarheid en failover.
- Configureer verwijzingsverwijzing op de inrichtingsagent.
- Gebruik de configuratiewizard voor de inrichtingsagent om het bovenliggende AD-domein en alle onderliggende AD-domeinen te registreren bij uw Azure AD-tenant.
- Maak één HR2AD-inrichtings-app voor het hele forest.
- Wanneer u de inrichtings-app configureert, selecteert u het bovenliggende AD-domein in de vervolgkeuzekeuzepabel van beschikbare AD-domeinen. Dit zorgt ervoor dat de hele forest wordt opzoekt terwijl er unieke waarden worden gegenereerd voor kenmerken zoals userPrincipalName, samAccountName en mail.
- Gebruik parentDistinguishedName met expressietoewijzing om dynamisch een gebruiker te maken in het juiste onderliggende domein en de juiste OE-container.
- Als u bereikfilters gebruikt, configureert u de vlag Verwijderingen van bereik overslaan om onbedoelde accountactiveringen te voorkomen.
Implementatietopologie 6: Apps scheiden voor het inrichten van afzonderlijke gebruikers van Cloud HR naar niet-verbonden on-premises Active Directory forests
Gebruik deze topologie als uw IT-infrastructuur geen/niet-aaneengekoppelde AD-forests heeft en u gebruikers moet inrichten voor verschillende forests op basis van een zakelijke relatie. Bijvoorbeeld: gebruikers die voor een dochteronderneming van Contoso werken, moeten worden ingericht in het contoso.com-domein, terwijl gebruikers die voor fabrikam als dochteronderneming werken, moeten worden ingericht in het fabrikam.com-domein.
Opvallende configuratieaspecten
- Stel twee verschillende sets inrichtingsagents in voor hoge beschikbaarheid en failover, één voor elk forest.
- Maak twee verschillende inrichtings-apps, één voor elk forest.
- Als u verwijzingen tussen domeinen in het forest moet oplossen, moet u verwijzingsverwijzingen inschakelen voor de inrichtingsagent.
- Maak een afzonderlijke HR2AD-inrichtings-app voor elk niet-verbonden forest.
- Wanneer u elke inrichtings-app configureert, selecteert u het juiste bovenliggende AD-domein in de vervolgkeuze lijst met beschikbare AD-domeinnamen.
- De vlag Skip out of scope deletions configureren om onopzettelijke accountdeactivaties te voorkomen.
Implementatietopologie 7: apps scheiden om afzonderlijke gebruikers in te stellen van meerdere cloud-HR naar niet-verbonden on-premises Active Directory forests
In grote organisaties is het niet ongebruikelijk om meerdere HR-systemen te hebben. Tijdens scenario's&bedrijfs-M&A (fusies en overnames), kan het nodig zijn om uw on-premises Active Directory te verbinden met meerdere HR-bronnen. We raden de onderstaande topologie aan als u meerdere HR-bronnen hebt en de identiteitsgegevens van deze HR-bronnen naar dezelfde of verschillende on-premises Active Directory wilt doorseen.
Opvallende configuratieaspecten
- Stel twee verschillende sets inrichtingsagents in voor hoge beschikbaarheid en failover, één voor elk forest.
- Als u verwijzingen tussen domeinen in het forest moet oplossen, moet u verwijzingsverwijzingen inschakelen voor de inrichtingsagent.
- Maak een afzonderlijke HR2AD-inrichtings-app voor elk HR-systeem en on-premises Active Directory combinatie.
- Wanneer u elke inrichtings-app configureert, selecteert u het juiste bovenliggende AD-domein in de vervolgkeuze lijst met beschikbare AD-domeinnamen.
- De vlag Skip out of scope deletions configureren om onopzettelijke accountdeactivaties te voorkomen.
Bereikfilters en kenmerktoewijzing plannen
Wanneer u het inrichten vanuit de CLOUD HR-app naar Active Directory of Azure AD inschakelen, Azure Portal de kenmerkwaarden via kenmerktoewijzing.
Bereikfilters definiëren
Gebruik bereikfilters om de op kenmerken gebaseerde regels te definiëren die bepalen welke gebruikers moeten worden ingericht vanuit de CLOUD HR-app naar Active Directory of Azure AD.
Wanneer u het Joiners-proces start, moet u de volgende vereisten verzamelen:
- Wordt de HR-app in de cloud gebruikt om zowel werknemers als werknemers in dienst te nemen?
- Bent u van plan om de CLOUD HR-app te gebruiken voor het inrichten van Azure AD-gebruikers voor het beheren van zowel werknemers als werkers?
- Bent u van plan om de HR-cloud-app alleen uit te rollen naar Azure AD-gebruikers inrichten voor een subset van de gebruikers van de CLOUD HR-app? Een voorbeeld zijn mogelijk alleen werknemers.
Afhankelijk van uw vereisten kunt u, wanneer u kenmerktoewijzingen configureert, het veld Bronobjectbereik instellen om te selecteren welke gebruikerssets van de HR-app in de cloud binnen het bereik van de inrichting naar Active Directory moeten vallen. Zie de zelfstudie over hr-apps in de cloud voor veelgebruikte bereikfilters voor meer informatie.
Overeenkomende kenmerken bepalen
Met het inrichten krijgt u de mogelijkheid om bestaande accounts te koppelen tussen het bron- en doelsysteem. Wanneer u de CLOUD HR-app integreert met de Azure AD-inrichtingsservice, kunt u kenmerktoewijzing configureren om te bepalen welke gebruikersgegevens van de CLOUD HR-app naar Active Directory of Azure AD moeten stromen.
Wanneer u het Joiners-proces start, moet u de volgende vereisten verzamelen:
- Wat is de unieke id in deze CLOUD HR-app die wordt gebruikt om elke gebruiker te identificeren?
- Hoe gaat u vanuit het perspectief van de identiteitslevenscyclus om met opnieuw inhuur? Blijven de oude werknemers-ID's behouden?
- Verwerkt u toekomstige medewerkers en maakt u vooraf Active Directory-accounts voor hen?
- Hoe gaat u vanuit het perspectief van de identiteitslevenscyclus om met de conversie van werknemers naar een werkmedewerker, of op een andere manier?
- Behouden geconverteerde gebruikers hun oude Active Directory-accounts of krijgen ze nieuwe accounts?
Afhankelijk van uw vereisten ondersteunt Azure AD directe kenmerk-naar-kenmerktoewijzing door constante waarden op te geven of expressies te schrijven voor kenmerktoewijzingen. Deze flexibiliteit biedt u de ultieme controle over wat er wordt ingevuld in het kenmerk van de doel-app. U kunt de Microsoft Graph API en Graph Explorer gebruiken om kenmerktoewijzingen en schema's voor het inrichten van gebruikers te exporteren naar een JSON-bestand en dit weer te importeren in Azure AD.
Standaard wordt het kenmerk in de CLOUD HR-app dat de unieke werknemer-id vertegenwoordigt, gebruikt als het overeenkomende kenmerk dat is toe te passen op het unieke kenmerk in Active Directory. In het workday-app-scenario wordt het kenmerk Workday WorkerID bijvoorbeeld aan het kenmerk Active Directory employeeID.
U kunt meerdere overeenkomende kenmerken instellen en overeenkomende prioriteit toewijzen. Ze worden geëvalueerd op basis van overeenkomende prioriteit. Zodra er een overeenkomst wordt gevonden, worden er geen verdere overeenkomende kenmerken geëvalueerd.
U kunt ook de standaard kenmerktoewijzingen aanpassen,zoals het wijzigen of verwijderen van bestaande kenmerktoewijzingen. U kunt ook nieuwe kenmerktoewijzingen maken op basis van de behoeften van uw bedrijf. Zie voor meer informatie de zelfstudie over hr-apps in de cloud (zoals Workday)voor een lijst met aangepaste kenmerken die moeten worden toegevoegd.
Gebruikersaccountstatus bepalen
Standaard wordt met de connector-app voor inrichting de status van het HR-gebruikersprofiel aan de gebruikersaccountstatus in Active Directory of Azure AD toegekend om te bepalen of het gebruikersaccount moet worden in- of uitgeschakeld.
Wanneer u het proces voor Joiners-Leavers start, moet u de volgende vereisten verzamelen.
| Proces | Vereisten |
|---|---|
| Joiners | Hoe gaat u vanuit het perspectief van de identiteitslevenscyclus om met opnieuw in te zetten? Blijven de oude werknemers-ID's behouden? |
| Verwerkt u toekomstige medewerkers en maakt u vooraf Active Directory-accounts voor hen? Hebben deze accounts de status Ingeschakeld of Uitgeschakeld? | |
| Hoe gaat u vanuit het perspectief van de identiteitslevenscyclus om met de conversie van werknemers naar een werkmedewerker, of op een andere manier? | |
| Behouden geconverteerde gebruikers hun oude Active Directory-accounts of krijgen ze nieuwe accounts? | |
| Leavers | Worden beëindigingen voor werknemers en werknemers in Active Directory anders verwerkt? |
| Welke effectieve datums worden overwogen voor het verwerken van gebruikersbeëindiging? | |
| Hoe beïnvloeden conversies van werknemers en werknemers bestaande Active Directory-accounts? | |
| Hoe verwerkt u de bewerking Respart in Active Directory? Bewerkingen die opnieuw worden uitgevoerd, moeten worden verwerkt als toekomstige medewerkers met een nieuwe contract in Active Directory worden gemaakt als onderdeel van het joinerproces. |
Afhankelijk van uw vereisten kunt u de toewijzingslogica aanpassen met behulp van Azure AD-expressies, zodat het Active Directory-account wordt ingeschakeld of uitgeschakeld op basis van een combinatie van gegevenspunten.
HR-app in de cloud aan Active Directory-gebruikerskenmerken toevoegen
Elke HR-cloud-app wordt geleverd met standaard HR-app in de cloud naar Active Directory-toewijzingen.
Wanneer u het proces Joiners-Movers-Leavers start, moet u de volgende vereisten verzamelen.
| Proces | Vereisten |
|---|---|
| Joiners | Is het proces voor het maken van een Active Directory-account handmatig, geautomatiseerd of gedeeltelijk geautomatiseerd? |
| Wilt u aangepaste kenmerken van de HR-app in de cloud doorgeven aan Active Directory? | |
| Verhuizers | Welke kenmerken wilt u verwerken wanneer een Movers-bewerking plaatsvindt in de HR-app in de cloud? |
| Voert u specifieke kenmerkvalidaties uit op het moment van gebruikersupdates? Zo ja, geef dan details op. | |
| Leavers | Worden beëindigingen voor werknemers en werknemers in Active Directory anders verwerkt? |
| Welke effectieve datums worden overwogen voor het verwerken van gebruikersbeëindiging? | |
| Hoe zijn conversies van werknemers en werkwerkers van invloed op bestaande Active Directory-accounts? |
Afhankelijk van uw vereisten kunt u de toewijzingen aanpassen om te voldoen aan uw integratiedoelen. Zie de specifieke hr-app-zelfstudie voor de cloud (zoals Workday)voor een lijst met toe te geven aangepaste kenmerken.
Een unieke kenmerkwaarde genereren
Wanneer u het joiners-proces start, moet u mogelijk unieke kenmerkwaarden genereren wanneer u kenmerken initieert zoals CN, samAccountName en de UPN, die unieke beperkingen hebben.
De Azure AD-functie SelectUniqueValues evalueert elke regel en controleert vervolgens de waarde die is gegenereerd op uniekheid in het doelsysteem. Zie Generate unique value for the userPrincipalName (UPN)-kenmerk vooreen voorbeeld.
Notitie
Deze functie wordt momenteel alleen ondersteund voor het inrichten van Gebruikers van Workday naar Active Directory en SAP SuccessFactors naar Active Directory. Het kan niet worden gebruikt met andere inrichtings-apps.
Toewijzing van Active Directory OE-container configureren
Het is een algemene vereiste om Active Directory-gebruikersaccounts in containers te plaatsen op basis van bedrijfseenheden, locaties en afdelingen. Wanneer u een Movers-proces start en als er een wijziging in de organisatie van de supervisor is, moet u de gebruiker mogelijk van de ene organisatie-eenheid naar de andere verplaatsen in Active Directory.
Gebruik de functie Switch() om de bedrijfslogica voor de OE-toewijzing te configureren en wijs deze toe aan het active Directory-kenmerk parentDistinguishedName.
Als u bijvoorbeeld gebruikers in de OE wilt maken op basis van het HR-kenmerk Attribute, kunt u de volgende expressie gebruiken:
Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")
Met deze expressie wordt het gebruikersaccount gemaakt in de bijbehorende OE als de waarde Voor de waarde Voor eigen gebruik Dallas, Seattle of Londen is. Als er geen overeenkomst is, wordt het account gemaakt in de standaard-OE.
De wachtwoordlevering van nieuwe gebruikersaccounts plannen
Wanneer u het joiners-proces start, moet u een tijdelijk wachtwoord van nieuwe gebruikersaccounts instellen en leveren. Met het inrichten van cloud-HR naar Azure AD-gebruikers kunt u de selfservice voor wachtwoord opnieuw instellen (SSPR) van Azure AD voor de gebruiker op dag één implementeren.
SSPR is een eenvoudige manier voor IT-beheerders om gebruikers in staat te stellen hun wachtwoord opnieuw in te stellen of hun account te ontgrendelen. U kunt het kenmerk Mobiel nummer vanuit de HR-app in de cloud inrichten in Active Directory en synchroniseren met Azure AD. Nadat het kenmerk Mobiel nummer zich in Azure AD heeft, kunt u SSPR inschakelen voor het account van de gebruiker. Vervolgens kan de nieuwe gebruiker op dag één het geregistreerde en geverifieerde mobiele nummer gebruiken voor verificatie. Raadpleeg de SSPR-documentatie voor meer informatie over het vooraf in vullen van contactgegevens voor verificatie.
Initiële cyclus plannen
Wanneer de Azure AD-inrichtingsservice voor het eerst wordt uitgevoerd, voert deze een eerste cyclus uit op basis van de HR-app in de cloud om een momentopname te maken van alle gebruikersobjecten in de HR-app in de cloud. De tijd die nodig is voor de initiële cycli is direct afhankelijk van het aantal gebruikers in het bronsysteem. De eerste cyclus voor sommige HR-app-tenants in de cloud met meer dan 100.000 gebruikers kan lang duren.
Voor hr-app-tenants in de cloud (>30.000 gebruikers) moet u de eerste cyclus in progressieve fasen uitvoeren. Start de incrementele updates pas nadat u hebt gevalideerd dat de juiste kenmerken zijn ingesteld in Active Directory voor verschillende scenario's voor het inrichten van gebruikers. Volg hier de volgorde.
- Voer de initiële cyclus alleen uit voor een beperkte set gebruikers door het bereikfilter in te stellen.
- Controleer of het Active Directory-account is ingericht en of de kenmerkwaarden zijn ingesteld voor de gebruikers die zijn geselecteerd voor de eerste run. Als het resultaat aan uw verwachtingen voldoet, vouwt u het bereikfilter uit om geleidelijk meer gebruikers op te nemen en controleert u de resultaten voor de tweede run.
Nadat u tevreden bent met de resultaten van de eerste cyclus voor testgebruikers, start u de incrementele updates.
Testen en beveiliging plannen
Zorg ervoor dat u in elke fase van uw implementatie, van de eerste testfase tot het inschakelen van het inrichten van gebruikers, test of de resultaten zijn zoals verwacht en controleer de inrichtingscycli.
Testen plannen
Nadat u de CLOUD HR-app hebt geconfigureerd voor het inrichten van Azure AD-gebruikers, kunt u test cases uitvoeren om te controleren of deze oplossing voldoet aan de vereisten van uw organisatie.
| Scenario's | Verwachte resultaten |
|---|---|
| Er wordt een nieuwe werknemer aangenomen in de HR-app in de cloud. | - Het gebruikersaccount is ingericht in Active Directory.- De gebruiker kan zich aanmelden bij Active Directory-domein-apps en de gewenste acties uitvoeren.- Als Azure AD Verbinding maken synchronisatie is geconfigureerd, wordt het gebruikersaccount ook gemaakt in Azure AD. |
| De gebruiker wordt beëindigd in de HR-app in de cloud. | - Het gebruikersaccount is uitgeschakeld in Active Directory.- De gebruiker kan zich niet aanmelden bij bedrijfsapps die worden beveiligd door Active Directory. |
| De organisatie van gebruikers-supervisors wordt bijgewerkt in de HR-app in de cloud. | Op basis van de kenmerktoewijzing wordt het gebruikersaccount verplaatst van de ene OE naar een andere in Active Directory. |
| HR werkt de manager van de gebruiker bij in de HR-app in de cloud. | Het veld Manager in Active Directory wordt bijgewerkt met de naam van de nieuwe manager. |
| HR weer in dienst van een werknemer in een nieuwe rol. | Gedrag is afhankelijk van hoe de HR-app in de cloud is geconfigureerd voor het genereren van werknemer-ID's:- Als de oude werknemer-id opnieuw wordt gebruikt voor een nieuwe functie, schakelt de connector het bestaande Active Directory-account voor de gebruiker in.- Als de nieuwe medewerker een nieuwe werknemer-id krijgt, maakt de connector een nieuw Active Directory-account voor de gebruiker. |
| HR converteert de werknemer naar een contractmedewerker of vice versa. | Er wordt een nieuw Active Directory-account gemaakt voor de nieuwe persona en het oude account wordt uitgeschakeld op de ingangsdatum van de conversie. |
Gebruik de vorige resultaten om te bepalen hoe u uw implementatie van automatische gebruikers inrichten naar productie over kunt zetten op basis van de vastgestelde tijdlijnen.
Tip
Gebruik technieken zoals gegevensreductie en data scrubbing wanneer u de testomgeving vernieuwt met productiegegevens om gevoelige persoonsgegevens te verwijderen of te maskeren om te voldoen aan de privacy- en beveiligingsstandaarden.
Beveiliging plannen
Het is gebruikelijk dat een beveiligingsbeoordeling is vereist als onderdeel van de implementatie van een nieuwe service. Als een beveiligingsbeoordeling is vereist of niet is uitgevoerd, bekijkt u de vele Azure AD-whitepapers die een overzicht geven van de identiteit als een service.
Terugdraaien plannen
De implementatie van het inrichten van HR-gebruikers in de cloud werkt mogelijk niet naar wens in de productieomgeving. Zo ja, dan kunt u met de volgende terugdraaistappen terugkeren naar een eerder bekende goede staat.
- Bekijk het overzichtsrapport van de inrichting en de inrichtingslogboeken om te bepalen welke onjuiste bewerkingen zijn uitgevoerd op de betrokken gebruikers of groepen. Zie Gebruikers inrichten voor HR-apps in de cloud beheren voor meer informatie over het overzichtsrapport en de logboeken van de inrichting.
- De laatst bekende goede status van de betrokken gebruikers of groepen kan worden bepaald via de auditlogboeken voor inrichting of door de doelsystemen te controleren (Azure AD of Active Directory).
- Werk samen met de eigenaar van de app om de gebruikers of groepen rechtstreeks in de app bij te werken met behulp van de laatst bekende goede statuswaarden.
De CLOUD HR-app implementeren
Kies de CLOUD HR-app die is afgestemd op uw oplossingsvereisten.
Workday: als u werkprofielen uit Workday wilt importeren in Active Directory en Azure AD, gaat u naar Zelfstudie: Workday configureren voor het automatisch inrichten van gebruikers. U kunt eventueel het e-mailadres, de gebruikersnaam en het telefoonnummer terugschrijven naar Workday.
SAP SuccessFactors: als u werkprofielen uit SuccessFactors wilt importeren in Active Directory en Azure AD, gaat u naar Zelfstudie: SAP SuccessFactorsconfigureren voor het automatisch inrichten van gebruikers. U kunt eventueel het e-mailadres en de gebruikersnaam terugschrijven naar SuccessFactors.
Uw configuratie beheren
Azure AD kan extra inzichten bieden in het gebruik en de operationele status van gebruikers in uw organisatie door middel van auditlogboeken en -rapporten.
Inzichten verkrijgen uit rapporten en logboeken
Na een geslaagde initiële cyclus blijft de Azure AD-inrichtingsservice incrementele updates voor onbepaalde tijd uitvoeren, met intervallen die zijn gedefinieerd in de zelfstudies die specifiek zijn voor elke app, totdat een van de volgende gebeurtenissen zich voordoet:
- De service is handmatig gestopt. Een nieuwe initiële cyclus wordt geactiveerd met behulp van de Azure Portal of de juiste Microsoft Graph API-opdracht.
- Een nieuwe initiële cyclus wordt geactiveerd vanwege een wijziging in kenmerktoewijzingen of bereikfilters.
- Het inrichtingsproces gaat in quarantaine vanwege een hoog foutpercentage. Het blijft langer dan vier weken in quarantaine, waarna het automatisch wordt uitgeschakeld.
Als u deze gebeurtenissen en alle andere activiteiten wilt bekijken die door de inrichtingsservice worden uitgevoerd, leert u hoe u logboeken kunt controleren en rapporten over inrichtingsactiviteiten kunt krijgen.
Azure Monitor-logboeken
Alle activiteiten die door de inrichtingsservice worden uitgevoerd, worden vastgelegd in de Auditlogboeken van Azure AD. U kunt Azure AD-auditlogboeken door Azure Monitor voor verdere analyse. Met Azure Monitor logboeken (ook wel log analytics-werkruimte genoemd) kunt u gegevens opvragen om gebeurtenissen te vinden, trends te analyseren en correlaties tussen verschillende gegevensbronnen uit te voeren. Bekijk deze video voor meer informatie over de voordelen van het gebruik Azure Monitor logboeken voor Azure AD-logboeken in praktische gebruikersscenario's.
Installeer de Log Analytics-weergaven voor Azure AD-activiteitenlogboeken om toegang te krijgen tot vooraf gebouwde rapporten over inrichtingsgebeurtenissen in uw omgeving.
Zie voor meer informatie het analyseren van de Azure AD-activiteitenlogboeken met uw Azure Monitor logboeken.
Persoonlijke gegevens beheren
De inrichtingsagent van Azure AD Verbinding maken geïnstalleerd op de Windows-server maakt logboeken in het Windows-gebeurtenislogboek dat mogelijk persoonsgegevens bevat, afhankelijk van uw HR-app in de cloud naar Active Directory-kenmerktoewijzingen. Om te voldoen aan de privacyverplichtingen van gebruikers, stelt u een geplande Windows om het gebeurtenislogboek te verwijderen en ervoor te zorgen dat er geen gegevens meer dan 48 uur worden bewaard.
Azure AD-inrichtingsservice genereert geen rapporten, voert analyses uit of biedt geen inzichten meer dan 30 dagen, omdat de service gegevens niet langer dan 30 dagen opgeslagen, verwerkt of bewaard.
Problemen oplossen
Zie de volgende artikelen als u problemen wilt oplossen die zich tijdens het inrichten kunnen voor doen:
- Probleem bij het configureren van gebruikers inrichten voor een toepassing in de Azure AD-galerie
- Een kenmerk van uw on-premises Active Directory naar Azure AD voor inrichting naar een toepassing
- Probleem bij het opslaan van beheerdersreferenties tijdens het configureren van het inrichten van gebruikers voor een Azure Active Directory Gallery-toepassing
- Er worden geen gebruikers ingericht voor een toepassing in de Azure AD-galerie
- Verkeerde set gebruikers wordt ingericht voor een toepassing in de Azure AD-galerie
- Windows Logboeken instellen voor het oplossen van problemen met agenten
- Auditlogboeken in Azure Portal instellen voor het oplossen van problemen met services
- Informatie over logboeken over het maken van AD-gebruikersaccounts
- Informatie over logboeken over het bijwerken van managers
- Veelvoorkomende fouten oplossen