Планирование облачного приложения hr в microsoft Entra для подготовки пользователей
Исторически ИТ-специалисты опирались на методы ручного создания, обновления и удаления сотрудников. Они использовали для синхронизации данных сотрудников такие методы, как отправка CSV-файлов или пользовательские скрипты. Эти процессы подготовки имеют склонность к ошибкам. Они небезопасны и трудноуправляемы.
Для управления жизненным циклом удостоверений сотрудников, поставщиков или контингентов служба подготовки пользователей Microsoft Entra предлагает интеграцию с облачными приложениями кадров (HR). Примерами приложений являются Workday и SuccessFactors.
Идентификатор Microsoft Entra использует эту интеграцию для включения следующих процессов облачного приложения кадров (приложения):
- Подготовка пользователей в Active Directory. Подготовка выбранных наборов пользователей из облачного приложения HR в один или несколько доменов Active Directory.
- Подготовка облачных пользователей к идентификатору Microsoft Entra ID. В сценариях, когда Active Directory не используется, подготовьте пользователей непосредственно из облачного приложения hr в идентификатор Microsoft Entra.
- Вернитесь в облачное приложение отдела кадров: напишите адреса электронной почты и атрибуты имени пользователя из Microsoft Entra обратно в облачное приложение отдела кадров.
В следующем видео приводятся рекомендации по планированию интеграции подготовки на основе кадров.
Примечание.
В этом плане развертывания показано, как развернуть облачное приложение HR с помощью подготовки пользователей Microsoft Entra. Если вас интересуют приложения SaaS, ознакомьтесь со статьей Планирование развертывания автоматической подготовки пользователей.
Включенные сценарии управления персоналом
Служба подготовки пользователей Microsoft Entra обеспечивает автоматизацию следующих сценариев управления жизненным циклом удостоверений на основе кадров:
- Новый сотрудник нанимает: добавление сотрудника в облачное приложение отдела кадров автоматически создает пользователя в Active Directory и Идентификаторе Microsoft Entra. Добавление учетной записи пользователя включает возможность записи обратного адреса электронной почты и атрибутов имени пользователя в облачное приложение отдела кадров.
- Обновления атрибутов и профилей сотрудников: когда запись сотрудника, например имя, название или руководитель, обновляется в облачном приложении hr, их учетная запись пользователя автоматически обновляется в Active Directory и идентификаторе Microsoft Entra.
- Завершение работы сотрудников: при завершении работы сотрудника в облачном приложении отдела кадров их учетная запись пользователя автоматически отключается в Active Directory и идентификаторе Microsoft Entra.
- Сотрудник повторно обновляется: когда сотрудник повторно обновляется в облачном приложении отдела кадров, их старая учетная запись может быть автоматически активирована или перепроверена в Active Directory и идентификаторе Microsoft Entra.
Для чего эта интеграция подходит лучше всего?
Интеграция облачного приложения управления персоналом с подготовкой пользователей Microsoft Entra идеально подходит для организаций, которые:
- Предварительно созданное облачное решение для подготовки пользователей в облачной системе управления персоналом.
- Требовать прямую подготовку пользователей из облачного приложения HR в Active Directory или идентификатор Microsoft Entra.
- Использовать подготовку пользователей с помощью данных, полученных из облачного приложения управления персоналом.
- Синхронизация пользователей, которые присоединяются, перемещаются и покидают его. Синхронизация происходит между одним или несколькими лесами Active Directory, доменами и подразделениями на основе только сведений об изменениях, обнаруженных в облачном приложении отдела кадров.
- Использовать электронную почту в Microsoft 365.
Learn
Подготовка пользователей — основа для системы управления удостоверениями. Она улучшает качество бизнес-процессов, которым требуются достоверные данные удостоверений.
Условия
В этой статье используются следующие термины:
- Исходная система: репозиторий пользователей, из которым подготавливает идентификатор Microsoft Entra. В нашем случае это облачное приложение для управления персоналом, например Workday или SuccessFactors.
- Целевая система: репозиторий пользователей, которым подготавливает идентификатор Microsoft Entra. Примерами являются Active Directory, Идентификатор Microsoft Entra, Microsoft 365 или другие приложения SaaS.
- Процесс "наем, перевод, увольнение" — кадровые операции, при которых облачное приложение для управления персоналом используется как система записей. Этот процесс завершается, когда служба успешно подготавливает необходимые атрибуты для целевой системы.
Ключевые преимущества
Такая возможность подготовки ИТ на основе управления персоналом обеспечивает следующие значительные преимущества для бизнеса:
- Повышение продуктивности. Вы сможете автоматизировать назначение учетных записей пользователей и лицензий Microsoft 365, а также предоставлять доступ к ключевым группам. Автоматизация назначений дает новым сотрудникам немедленный доступ к рабочим инструментам, повышая производительность.
- Управление рисками. Автоматизация изменений на основе статуса сотрудника или членства в группе для повышения безопасности. Эта автоматизация гарантирует автоматическое обновление удостоверений пользователей и доступа к ключевым приложениям. Например, обновление в приложении кадров при переходе пользователя или выходе из организации автоматически.
- Соответствие требованиям и управление. Идентификатор Microsoft Entra поддерживает собственные журналы аудита для запросов на подготовку пользователей, выполняемых приложениями исходной и целевой систем. С помощью аудита можно отслеживать наличие доступа к приложениям с одного экрана.
- Управление затратами. Автоматическая подготовка снижает затраты, избегая неэффективности и человеческой ошибки, связанной с подготовкой вручную. Это уменьшает потребность в индивидуальных решениях по подготовке пользователей, созданных с течением времени при использовании старых и устаревших платформ.
Лицензирование
Чтобы настроить облачное приложение hr для интеграции подготовки пользователей Microsoft Entra, требуется допустимая лицензия Microsoft Entra ID P1 или P2 и лицензия для облачного приложения hr, например Workday или SuccessFactors.
Кроме того, вам нужна допустимая лицензия на подписку На идентификатор Microsoft Entra ID P1 или более поздней версии для каждого пользователя, исходного из облачного приложения hr и подготовленного для идентификатора Active Directory или Microsoft Entra.
Использование рабочих процессов жизненного цикла и других функций Управление идентификацией Microsoft Entra в процессе подготовки требует лицензии Управление идентификацией Microsoft Entra.
Необходимые компоненты
- Роль гибридного удостоверения Администратор istrator для настройки агента подготовки Подключение.
- Роль приложения Администратор istrator для настройки приложения подготовки.
- Тестовый и рабочий экземпляры облачного приложения для управления персоналом.
- Права администратора в облачном приложении для управления персоналом (нужны для создания пользователя системной интеграции и редактирования тестовых данных о сотрудниках).
- Для подготовки пользователей в Active Directory требуется сервер под управлением Windows Server 2016 или более поздней версии для размещения агента подготовки Microsoft Entra Подключение. Этот сервер должен быть сервером уровня 0 на основе модели административного уровня Active Directory.
- Microsoft Entra Подключение для синхронизации пользователей между Active Directory и Идентификатором Microsoft Entra.
Обучающие материалы
Архитектура решения
В примере ниже рассматривается комплексная архитектура решения подготовки пользователей для распространенных гибридных сред. Ее компоненты:
- Достоверный поток данных об управлении персоналом из соответствующего облачного приложения в Active Directory. В этом потоке событие управления персоналом (процесс "наем, перевод, увольнение") инициируется в клиенте облачного приложения для управления персоналом. Служба подготовки Microsoft Entra и Microsoft Entra Подключение агент подготовки подготавливают пользовательские данные из клиента облачного приложения hr app в Active Directory. В результате в Active Directory создается, изменяется, включается или отключается некий объект или операция (в зависимости от характера события).
- Синхронизация с идентификатором Microsoft Entra и записью обратного сообщения электронной почты и имени пользователя из локальная служба Active Directory в облачное приложение отдела кадров. После обновления учетных записей в Active Directory он синхронизируется с идентификатором Microsoft Entra с помощью Microsoft Entra Подключение. Адреса электронной почты и атрибуты имени пользователя можно записывать обратно в клиент облачного приложения.
Описание процесса подготовки
На схеме показаны следующие основные этапы:
- Отдел кадров выполняет транзакции в облачном клиенте приложения отдела кадров.
- Служба подготовки Microsoft Entra выполняет запланированные циклы из клиента облачного приложения отдела кадров и определяет изменения для синхронизации с Active Directory.
- Служба подготовки Microsoft Entra вызывает агент подготовки Microsoft Entra Подключение с полезными данными запроса, содержащими сведения о создании учетной записи Active Directory, обновлении, включении и отключении операций.
- Агент подготовки Microsoft Entra Подключение использует учетную запись службы для управления данными учетной записи Active Directory.
- Microsoft Entra Подключение выполняет разностную синхронизацию для извлечения обновлений в Active Directory.
- Обновления Active Directory синхронизируются с идентификатором Microsoft Entra.
- Служба подготовки Microsoft Entra записывает атрибут электронной почты и имя пользователя из идентификатора Microsoft Entra в клиент облачного приложения hr app.
Планирование проекта развертывания
Учитывайте потребности организации при определении стратегии развертывания в вашей среде.
Привлечение соответствующих заинтересованных лиц
Причиной неудач технических проектов обычно являются неоправданные ожидания относительно их значимости и результатов, а также обязанностей сотрудников и заинтересованных лиц. Чтобы избежать этих ловушек, привлеките правильных заинтересованных лиц и проследите, чтобы их роли в проекте были хорошо понятны. Перечень заинтересованных лиц, их вклад в проект и сферу ответственности необходимо четко задокументировать.
Привлеките представителя отдела кадров, с которым можно будет консультироваться по поводу соответствующих бизнес-процессов и удостоверений сотрудников, а также требований к обработке данных о трудовой деятельности.
Планирование информирования
Информирование важно для успеха любой новой службы. Упреждающее взаимодействие с пользователями о том, когда и как меняется их взаимодействие. Объясните, как обратиться за поддержкой, если у них возникнут проблемы.
Планирование пилотного проекта
Для интеграции кадровых бизнес-процессов и рабочих процессов обработки удостоверений в облачном приложении для управления персоналом и в целевой системе требуется много работы. Это проверка, преобразование и очистка данных, а также полное тестирование. Только после этого решение можно будет развернуть в рабочей среде.
Прежде чем применять решение для всех пользователей в рабочем окружении, запустите начальную конфигурацию в экспериментальной среде.
Выбор приложений-соединителей для подготовки
Чтобы упростить подготовку Microsoft Entra из облачного приложения HR в Active Directory, можно добавить несколько приложений соединителя подготовки из коллекции приложений Microsoft Entra:
- Соединитель для подготовки пользователей из облачного приложения к Active Directory упрощает подготовку учетных записей пользователей из облачного приложения для одного домена Active Directory. Если у вас несколько доменов, можно добавить один экземпляр этого приложения из коллекции приложений Microsoft Entra для каждого домена Active Directory, в который необходимо подготовиться.
- Облачное приложение для подготовки пользователей Microsoft Entra: Microsoft Entra Подключение — это средство синхронизации локальных пользователей Active Directory с идентификатором Microsoft Entra. Облачное приложение hr для подготовки пользователей Microsoft Entra — это соединитель, используемый для подготовки пользователей только в облаке из облачного приложения HR в один клиент Microsoft Entra.
- Обратная запись облачного приложения отдела кадров. Это приложение соединителя подготовки упрощает запись адресов электронной почты пользователя из идентификатора Microsoft Entra в облачное приложение HR.
Например, на следующем рисунке перечислены приложения соединителя Workday, доступные в коллекции приложений Microsoft Entra.
Схема принятия решений
Эта схема поможет выбрать для вашего облачного приложения оптимальный соединитель.
Проектирование топологии развертывания агента подготовки microsoft Entra Подключение
Для интеграции между облачным приложением и Active Directory требуется четыре компонента:
- Клиент облачного приложения для управления персоналом
- Приложение-соединитель для подготовки
- Агент подготовки Microsoft Entra Подключение
- Домен Active Directory
Топология развертывания агента подготовки microsoft Entra Подключение зависит от количества клиентов облачных приложений отдела кадров и дочерних доменов Active Directory, которые планируется интегрировать. Если у вас несколько доменов Active Directory, важно также учесть, связные они или несвязанные.
Определившись, выберите один из сценариев развертывания:
- Один арендатор облачного приложения -> один или несколько дочерних доменов Active Directory в доверенном лесу
- Один арендатор облачного приложения -> несколько дочерних доменов в несвязанном лесу Active Directory
Один арендатор облачного приложения -> один или несколько дочерних доменов Active Directory в доверенном лесу
Мы рекомендуем использовать следующую рабочую конфигурацию:
| Требование | Рекомендация |
|---|---|
| Количество агентов подготовки Microsoft Entra Подключение для развертывания. | Два (для обеспечения высокой доступности и отработки отказа). |
| Количество настроенных приложений соединителя подготовки. | Одно приложение на дочерний домен. |
| Узел сервера для агента подготовки Microsoft Entra Подключение. | Windows Server 2016 с линией зрения на геолокации контроллеров домена Active Directory. Может сосуществовать со службой Microsoft Entra Подключение. |
Один арендатор облачного приложения -> несколько дочерних доменов в несвязанном лесу Active Directory
В этом сценарии предполагается подготовка пользователей из облачного приложения для управления персоналом к доменам в несвязанных лесах Active Directory.
Мы рекомендуем использовать следующую рабочую конфигурацию:
| Требование | Рекомендация |
|---|---|
| Количество агентов подготовки Microsoft Entra Подключение для развертывания локальной среды | Два в разных лесах Active Directory. |
| Количество приложений-соединителей для подготовки | Одно приложение на дочерний домен. |
| Узел сервера для агента подготовки Microsoft Entra Подключение. | Windows Server 2016 с линией зрения на геолокации контроллеров домена Active Directory. Может сосуществовать со службой Microsoft Entra Подключение. |
Требования к агенту подготовки Microsoft Entra Подключение
Облачное приложение для подготовки пользователей Active Directory требует развертывания одного или нескольких агентов подготовки Microsoft Entra Подключение. Эти агенты должны быть развернуты на серверах под управлением Windows Server 2016 или более поздней версии. На серверах должно быть не менее 4 ГБ ОЗУ и среда выполнения .NET 4.7.1+. У сервера узла должен быть сетевой доступ к целевому домену Active Directory.
Чтобы подготовить локальную среду, мастер настройки агента подготовки Microsoft Entra Подключение регистрирует агент в клиенте Microsoft Entra, открывает порты, разрешает доступ к URL-адресам и поддерживает конфигурацию прокси-сервера HTTPS исходящего трафика.
Агент подготовки настраивает глобальную управляемую учетную запись службы (GMSA) для взаимодействия с доменами Active Directory.
Вы можете выбрать контроллеры домена, которые должны обрабатывать запросы на подготовку. Если у вас есть несколько географически распределенных контроллеров домена, установите агент подготовки там же, где размещены предпочитаемые контроллеры. Так все решение будет работать надежнее и производительнее.
Для обеспечения высокой доступности можно развернуть несколько агентов подготовки Microsoft Entra Подключение. Зарегистрируйте агент, чтобы он обрабатывал один и тот же набор локальных доменов Active Directory.
Проектирование топологии развертывания приложения подготовки HR
В зависимости от числа доменов Active Directory, участвующих в конфигурации подготовки входящих пользователей, можно рассмотреть одну из следующих топологий развертывания. Каждая схема топологии реализует конкретный пример сценария развертывания, чтобы подчеркнуть аспекты настройки. Используйте пример, который очень похож на требование развертывания, чтобы определить конфигурацию, соответствующую вашим потребностям.
Топология развертывания: одно приложение для подготовки всех пользователей из Облачного отдела кадров в один домен локальная служба Active Directory
Топология развертывания является наиболее распространенной топологией развертывания. Используйте эту топологию, если необходимо подготавливать всех пользователей из облачного приложения для управления персоналом в одном домене AD и применять одинаковые правила подготовки ко всем пользователям.
Ключевые аспекты конфигурации
- Настройте два узла агента подготовки для обеспечения высокой доступности и отработки отказа.
- Используйте мастер настройки агента подготовки для регистрации домена AD в клиенте Microsoft Entra.
- При настройке приложения подготовки выберите домен AD из раскрывающегося списка зарегистрированных доменов.
- Если вы используете фильтры области, настройте пропуск флага удаления область, чтобы предотвратить случайные деактивации учетной записи.
Топология развертывания 2. Разделение приложений для подготовки отдельных пользовательских наборов из облачного отдела кадров в один домен локальная служба Active Directory
Эта топология поддерживает бизнес-требования, в которых сопоставление атрибутов и логика подготовки отличаются в зависимости от типа пользователя (сотрудника или подрядчика), расположения пользователя или бизнес-подразделения пользователя. Эту топологию можно также использовать для делегирования администрирования и обслуживания подготовки входящих пользователей на основе деления или страны или региона.
Ключевые аспекты конфигурации
- Настройте два узла агента подготовки для обеспечения высокой доступности и отработки отказа.
- Создайте приложение подготовки HR2AD для каждого отдельного набора пользователей, который требуется подготовить.
- Используйте фильтры области в приложении подготовки , чтобы определить пользователей для обработки каждого приложения.
- В сценарии, в котором необходимо разрешить ссылки на диспетчера в разных пользовательских наборах, создайте отдельное приложение подготовки HR2AD. Например, подрядчики сообщают руководителям, которые являются сотрудниками. Используйте отдельное приложение для обновления только атрибута диспетчера. Задайте для этого приложения область, охватывающую всех пользователей.
- Настройте флаг пропуска удаления пользователей вне области, чтобы предотвратить случайное отключение учетных записей.
Примечание.
Если у вас нет тестового домена AD и вы используете контейнер TEST OU в AD, то эту топологию можно использовать для создания двух отдельных приложений — HR2AD (Prod) и HR2AD (Test). Используйте приложение HR2AD (Test), чтобы протестировать изменения сопоставления атрибутов, прежде чем повысить его уровень до приложения HR2AD (Prod).
Топология развертывания 3. Разделение приложений для подготовки отдельных пользовательских наборов из облачного отдела кадров в несколько доменов локальная служба Active Directory (без видимости между доменами)
Используйте топологию три для управления несколькими независимыми дочерними доменами AD, принадлежащими одному лесу. Убедитесь, что менеджеры всегда существуют в том же домене, что и пользователь. Кроме того, убедитесь, что правила создания уникальных идентификаторов для атрибутов, таких как userPrincipalName, samAccountName и почта, не требуют поиска на уровне леса. Топология три предлагает гибкость делегирования администрирования каждого задания подготовки по границам домена.
Например, на схеме приложения подготовки настраиваются для каждого географического региона: Северная Америка (NA), Европы, Ближнего Востока и Африки (EMEA) и Азиатско-Тихоокеанского региона (APAC). В зависимости от расположения пользователи подготавливаются в соответствующем домене AD. Возможно делегированное администрирование приложения подготовки, чтобы администраторы EMEA могли независимо управлять конфигурацией подготовки пользователей, принадлежащих к региону EMEA.
Ключевые аспекты конфигурации
- Настройте два узла агента подготовки для обеспечения высокой доступности и отработки отказа.
- Используйте мастер настройки агента подготовки для регистрации всех дочерних доменов AD в клиенте Microsoft Entra.
- Создайте отдельное приложение подготовки HR2AD для каждого целевого домена.
- При настройке приложения подготовки выберите соответствующий дочерний домен AD из раскрывающегося списка доступных доменов AD.
- Используйте фильтры области в приложении подготовки , чтобы определить пользователей, которые обрабатываются каждым приложением.
- Настройте флаг пропуска удаления пользователей вне области, чтобы предотвратить случайное отключение учетных записей.
Топология развертывания четыре. Разделение приложений для подготовки отдельных пользовательских наборов из облачных кадров в несколько доменов локальная служба Active Directory (с видимостью между доменами)
Используйте топологию четыре для управления несколькими независимыми дочерними доменами AD, принадлежащими к одному лесу. Менеджер пользователя может существовать в другом домене. Кроме того, правила создания уникальных идентификаторов для атрибутов, таких как userPrincipalName, samAccountName и почта, требуют поиска на уровне леса.
Например, на схеме приложения подготовки настраиваются для каждого географического региона: Северная Америка (NA), Европы, Ближнего Востока и Африки (EMEA) и Азиатско-Тихоокеанского региона (APAC). В зависимости от расположения пользователи подготавливаются в соответствующем домене AD. Ссылки на междоменные диспетчеры и подстановка на уровне леса обрабатываются путем включения отслеживания ссылок на агент подготовки.
Ключевые аспекты конфигурации
- Настройте два узла агента подготовки для обеспечения высокой доступности и отработки отказа.
- Настройте отслеживание ссылок в агенте подготовки.
- Используйте мастер настройки агента подготовки, чтобы зарегистрировать родительский домен AD и все дочерние домены AD в клиенте Microsoft Entra.
- Создайте отдельное приложение подготовки HR2AD для каждого целевого домена.
- При настройке каждого приложения подготовки выберите соответствующий родительский домен AD из раскрывающегося списка доступных доменов AD. При выборе родительского домена при создании уникальных значений для атрибутов, таких как userPrincipalName, samAccountName и mail.
- Используйте parentDistinguishedName с выражением сопоставления для динамического создания пользователя в соответствующем дочернем домене и контейнере подразделения.
- Используйте фильтры области в приложении подготовки , чтобы определить пользователей, которые обрабатываются каждым приложением.
- Для разрешения междоменных ссылок на руководителей создайте отдельное приложение подготовки HR2AD, которое будет обновлять только атрибут manager. Задайте для этого приложения область, охватывающую всех пользователей.
- Настройте флаг пропуска удаления пользователей вне области, чтобы предотвратить случайное отключение учетных записей.
Топология развертывания 5: одно приложение для подготовки всех пользователей из облачного приложения для управления персоналом в нескольких локальных доменах Active Directory (с междоменной видимостью)
Используйте эту топологию, если необходимо использовать одно приложение подготовки для управления пользователями, принадлежащими ко всем родительским и дочерним доменам AD. Эта топология рекомендуется, если правила подготовки согласованы во всех доменах и не требуется делегированное администрирование заданий подготовки. Данная топология поддерживает разрешение междоменных ссылок на руководителей и может выполнять проверку уникальности в пределах леса.
Например, на схеме одно приложение подготовки управляет пользователями в трех разных дочерних доменах, сгруппированных по регионам: Северная Америка (NA), Европа, Ближний Восток и Африка (EMEA) и Азиатско-Тихоокеанский регион (APAC). Сопоставление атрибута parentDistinguishedName используется для динамического создания пользователя в соответствующем дочернем домене. Ссылки на междоменные диспетчеры и подстановка на уровне леса обрабатываются путем включения отслеживания ссылок на агент подготовки.
Ключевые аспекты конфигурации
- Настройте два узла агента подготовки для обеспечения высокой доступности и отработки отказа.
- Настройте отслеживание ссылок в агенте подготовки.
- Используйте мастер настройки агента подготовки, чтобы зарегистрировать родительский домен AD и все дочерние домены AD в клиенте Microsoft Entra.
- Создайте одно приложение подготовки HR2AD для всего леса.
- При настройке приложения подготовки выберите соответствующий родительский домен AD из раскрывающегося списка доступных доменов AD. При выборе родительского домена при создании уникальных значений для атрибутов, таких как userPrincipalName, samAccountName и mail.
- Используйте parentDistinguishedName с выражением сопоставления для динамического создания пользователя в соответствующем дочернем домене и контейнере подразделения.
- Если вы используете фильтры области, настройте пропуск флага удаления область, чтобы предотвратить случайные деактивации учетной записи.
Топология развертывания 6: отдельные приложения для подготовки разных наборов пользователей из облачного приложения для управления персоналом в несвязанных локальных лесах Active Directory
Используйте эту топологию, если ИТ-инфраструктура содержит отключенные или несвязанные леса AD и вам необходимо подготавливать пользователей в разных лесах, в зависимости от места работы. Пример: пользователи, работающие в подразделении Contoso, должны быть подготовлены в домене contoso.com, а пользователи, работающие в дочерней компании Fabrikam, должны быть подготовлены в домене fabrikam.com.
Ключевые аспекты конфигурации
- Настройте два разных набора агентов подготовки (по одному для каждого леса) для обеспечения высокой доступности и отработки отказа.
- Создайте два разных приложения подготовки, по одному для каждого леса.
- Если необходимо разрешать междоменные ссылки в пределах леса, включите отслеживание ссылок в агенте подготовки.
- Создайте отдельное приложение подготовки HR2AD для каждого несвязанного леса.
- При настройке каждого приложения подготовки выберите соответствующий родительский домен AD из раскрывающегося списка доступных доменных имен AD.
- Настройте флаг пропуска удаления пользователей вне области, чтобы предотвратить случайное отключение учетных записей.
Топология развертывания 7: отдельные приложения для подготовки разных наборов пользователей из нескольких облачных приложений для управления персоналом в несвязанных локальных лесах Active Directory
В крупных организациях не редкость для нескольких систем управления персоналом. Во время слияния и поглощения организаций может возникнуть необходимость подключить локальную службу Active Directory к нескольким исходным системам управления персоналом. Рекомендуется использовать топологию, если у вас есть несколько источников кадров и требуется каналировать данные удостоверений из этих источников кадров в одни и те же или разные домены локальная служба Active Directory.
Ключевые аспекты конфигурации
- Настройте два разных набора агентов подготовки (по одному для каждого леса) для обеспечения высокой доступности и отработки отказа.
- Если необходимо разрешать междоменные ссылки в пределах леса, включите отслеживание ссылок в агенте подготовки.
- Создайте отдельное приложение подготовки HR2AD для каждого сочетания системы управления персоналом и локальной службы Active Directory.
- При настройке каждого приложения подготовки выберите соответствующий родительский домен AD из раскрывающегося списка доступных доменных имен AD.
- Настройте флаг пропуска удаления пользователей вне области, чтобы предотвратить случайное отключение учетных записей.
Планирование фильтров области и сопоставления атрибутов
При включении подготовки из облачного приложения hr в Active Directory или Идентификатор Microsoft Entra портал Azure управляет значениями атрибутов с помощью сопоставления атрибутов.
Определение фильтров области
Используйте фильтры области для определения правил на основе атрибутов, определяющих, какие пользователи должны быть подготовлены из облачного приложения hr в Active Directory или Идентификатор Microsoft Entra.
Чтобы использовать процесс "наем", проверьте следующее:
- Для каких сотрудников используется ли облачное приложение — только штатных или еще и внештатных?
- Планируется ли использовать облачное приложение отдела кадров для подготовки пользователей Microsoft Entra для управления как сотрудниками, так и сотрудниками-контингентами?
- Планируете ли вы развернуть облачное приложение HR в microsoft Entra для подготовки пользователей только для подмножества пользователей облачного приложения отдела кадров? Например, можно подготавливать только штатных сотрудников.
В зависимости от вашей ситуации можно задать при настройке сопоставлений атрибутов поле Source Object Scope, чтобы выбрать, какие наборы пользователей облачного приложения должна охватывать подготовка для Active Directory. Дополнительные сведения о часто используемых фильтрах области см. в руководстве по облачному приложению.
Определение сопоставляемых атрибутов
Подготовка позволяет сопоставлять существующие учетные записи в исходной и целевой системах. Интеграция облачного приложения HR с службой подготовки Microsoft Entra позволяет настроить сопоставление атрибутов, чтобы определить, какие пользовательские данные должны передаваться из облачного приложения HR в Active Directory или Идентификатор Microsoft Entra.
Чтобы использовать процесс "наем", проверьте следующее:
- Какой уникальный идентификатор используется для пользователей облачного приложения?
- Как обрабатываются данные о повторно нанятых сотрудниках с точки зрения жизненного цикла удостоверений? Сохраняются ли у повторно нанятых сотрудников старые идентификаторы?
- Для сотрудников, дата принятия которых на работу еще не наступила, заранее создаются учетные записи Active Directory?
- Как обрабатываются данные о штатных работниках, переходящих на внештатное сотрудничество (и наоборот), с точки зрения жизненного цикла удостоверений?
- Сохраняется ли у пользователя старая учетная запись Active Directory после перехода на новую форму сотрудничества?
В зависимости от требований идентификатор Microsoft Entra поддерживает прямое сопоставление атрибутов к атрибутам, предоставляя константные значения или записывая выражения для сопоставлений атрибутов. Такая гибкость позволяет получить максимальный контроль над значениями, которые принимают атрибуты в целевом приложении. Вы можете использовать API Microsoft Graph и Graph Обозреватель для экспорта сопоставлений атрибутов подготовки пользователей и схемы в JSON-файл и импортировать его обратно в идентификатор Microsoft Entra.
По умолчанию атрибут в облачном приложении, представляющий уникальный идентификатор сотрудника, сопоставляется с соответствующим уникальным атрибутом в Active Directory. Например, в случае с приложением Workday атрибут WorkerID сопоставляется с атрибутом Active Directory employeeID.
Можно задать несколько сопоставляемых атрибутов и назначить приоритет сопоставления. Атрибуты оцениваются в порядке приоритетности. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются.
Можно также настроить сопоставления атрибутов по умолчанию, такие как изменение или удаление существующих сопоставлений атрибутов. Кроме того, вы можете настроить сопоставление любых нужных вашей компании атрибутов. Список настраиваемых атрибутов, которые можно сопоставлять, см. в руководстве по вашему облачному приложению (например, Workday).
Определение состояния учетных записей пользователей
По умолчанию приложение соединителя подготовки сопоставляет состояние профиля пользователя отдела кадров с состоянием учетной записи пользователя. Состояние используется для определения того, следует ли включить или отключить учетную запись пользователя.
Чтобы использовать процесс "наем, увольнение", проверьте следующее:
| Обработка | Требования |
|---|---|
| Наем | Как обрабатываются данные о повторно нанятых сотрудниках с точки зрения жизненного цикла удостоверений? Сохраняются ли у повторно нанятых сотрудников старые идентификаторы? |
| Для сотрудников, дата принятия которых на работу еще не наступила, заранее создаются учетные записи Active Directory? Учетные записи включаются сразу или изначально отключены? | |
| Как обрабатываются данные о штатных работниках, переходящих на внештатное сотрудничество (и наоборот), с точки зрения жизненного цикла удостоверений? | |
| Сохраняется ли у пользователя старая учетная запись Active Directory после перехода на новую форму сотрудничества? | |
| Увольнение | Как в Active Directory обрабатывается информация об увольнении для штатных и внештатных сотрудников — одинаково или по-разному? |
| Какие эффективные даты учитываются при обработке информации об увольнении пользователя? | |
| Как переход работника на новую форму сотрудничества влияет на существующую учетную запись Active Directory? | |
| Как в Active Directory обрабатывается операция отмены? Операции отмены необходимо обрабатывать, если в Active Directory создаются записи о найме сотрудников, дата принятия которых на работу еще не наступила. |
В зависимости от требований можно настроить логику сопоставления с помощью выражений Microsoft Entra, чтобы учетная запись Active Directory была включена или отключена на основе сочетания точек данных.
Сопоставление данных облачного приложения с пользовательскими атрибутами Active Directory
В каждом облачном приложении для управления персоналом есть стандартные сопоставления для Active Directory.
Чтобы использовать процесс "наем, перевод, увольнение", проверьте следующее:
| Обработка | Требования |
|---|---|
| Наем | Как создаются учетные записи Active Directory — вручную, автоматически или частично автоматически? |
| Вы планируете передавать настраиваемые атрибуты из облачного приложения в Active Directory? | |
| Перевод | Какие атрибуты из облачного приложения вы хотите обрабатывать при переводе сотрудника? |
| Проверяются при обновлении пользователей какие-либо конкретные атрибуты? Если да, укажите детали. | |
| Увольнение | Как в Active Directory обрабатывается информация об увольнении для штатных и внештатных сотрудников — одинаково или по-разному? |
| Какие эффективные даты учитываются при обработке информации об увольнении пользователя? | |
| Как переход работника на новую форму сотрудничества влияет на существующую учетную запись Active Directory? |
В вы можете изменить сопоставления согласно вашим целям интеграции. Список настраиваемых атрибутов, которые можно сопоставлять, см. в руководстве по вашему облачному приложению (например, Workday).
Создание уникальных значений атрибутов
Атрибуты, такие как CN, samAccountName и имя участника-пользователя, имеют уникальные ограничения. При запуске процесса соединения может потребоваться создать уникальные значения атрибутов.
Функция Идентификатора Microsoft Entra SelectUniqueValues оценивает каждое правило, а затем проверка значение, созданное для уникальности в целевой системе. Пример см. в разделе Создание уникального значения для атрибута userPrincipalName (UPN).
Примечание.
В настоящее время эта функция поддерживается только для подготовки пользователей Workday и SAP SuccessFactors в Active Directory. Ее нельзя использовать с другими приложениями подготовки.
Настройка назначения контейнера подразделения Active Directory
Распространенным требованием является размещение учетных записей пользователей Active Directory в контейнерах на основе бизнес-подразделений, филиалов и отделов. При инициации процесса "перевод" и при изменении ответственной организации может потребоваться переместить пользователя в другое подразделение в Active Directory.
Используйте для настройки бизнес-логики назначения подразделения функцию Switch(). Сопоставьте ее с атрибутом Active Directory parentDistinguishedName.
Например, если вы хотите добавлять пользователей в подразделения на основе атрибута Municipality в облачном приложении, можно использовать следующее выражение:
Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")
Если значение муниципалитета — Даллас, Остин, Сиэтл или Лондон, то учетная запись пользователя создается в соответствующем подразделении. Если совпадений нет, учетная запись создается в подразделении по умолчанию.
Планирование доставки паролей для новых учетных записей пользователей
При запуске процесса "наем" необходимо задавать и доставлять временные пароли для новых учетных записей пользователей. С помощью облачной подготовки кадров для пользователей Microsoft Entra вы можете развернуть возможность самостоятельного сброса пароля (SSPR) для пользователя в один день.
С помощью SSPR ИТ-администраторы могут предоставить пользователям возможность самостоятельно сбрасывать и разблокировать пароли и учетные записи. Вы можете подготовить атрибут мобильного номера из облачного приложения HR в Active Directory и синхронизировать его с идентификатором Microsoft Entra. После того как атрибут мобильного номера находится в идентификаторе Microsoft Entra, вы можете включить SSPR для учетной записи пользователя. Тогда новый пользователь сможет использовать зарегистрированный и проверенный номер мобильного телефона для проверки подлинности в первый день. Дополнительные сведения о том, как предварительно заполнить контактные данные проверки подлинности, см. в документации по SSPR.
Планирование начального цикла
Когда служба подготовки Microsoft Entra запускается в первый раз, она выполняет начальный цикл в облачном приложении hr для создания моментального снимка всех объектов пользователей в облачном приложении hr. Время, затрачиваемое на начальные циклы, непосредственно зависит от количества пользователей, имеющихся в исходной системе. Начальный цикл для некоторых клиентов облачных приложений с более чем 100 000 пользователями может занять много времени.
Для больших арендаторов облачных приложений (> 30 000 пользователей) запускайте начальный цикл поэтапно. Запускайте добавочные обновления только после проверки того, что в Active Directory заданы правильные атрибуты для различных сценариев подготовки пользователей. Порядок действий описан ниже.
- Запустите начальный цикл только для ограниченного набора пользователей, задав фильтр области.
- Проверьте подготовку учетных записей Active Directory и значения атрибутов для пользователей, выбранных для первого запуска. Если результат соответствует ожиданиям, расширьте фильтр области, чтобы добавить больше пользователей и проверить результаты второго запуска.
Если вы удовлетворены результатами начального цикла для тестовых пользователей, запустите добавочные обновления.
Планирование тестирования и безопасности
Развертывание состоит из этапов, начиная от первоначального пилотного проекта до включения подготовки пользователей. На каждом этапе убедитесь, что вы тестируете ожидаемые результаты. Кроме того, проверьте циклы подготовки.
Планирование тестирования
После настройки облачного приложения hr app на подготовку пользователей Microsoft Entra запустите тестовые случаи, чтобы проверить, соответствует ли это решение требованиям вашей организации.
| Сценарии | Ожидаемые результаты |
|---|---|
| Нового сотрудника принимают на работу в облачном приложении для управления персоналом. | — учетная запись пользователя подготовлена в Active Directory.— Пользователь может войти в доменные приложения Active Directory и выполнить необходимые действия.— Если настроена синхронизация microsoft Entra Подключение, учетная запись пользователя также создается в идентификаторе Microsoft Entra. |
| Пользователя увольняют в облачном приложении. | — Учетная запись пользователя отключена в Active Directory.— Пользователь не может войти в корпоративные приложения, защищенные Active Directory. |
| В облачном приложении меняется организация, ответственная за пользователя. | На основе сопоставления атрибутов учетная запись пользователя перемещается в другое подразделение Active Directory. |
| В облачном приложении меняются сведения о руководителе пользователя. | Поле руководителя в Active Directory обновляется в соответствии с именем нового руководителя. |
| Сотрудника переводят на новую роль. | Поведение зависит от того, как облачное приложение HR настроено для создания идентификаторов сотрудников. Если старый идентификатор сотрудника используется для повторного подбора сотрудника, соединитель включает существующую учетную запись Active Directory для пользователя. Если сотрудник повторно возвращает новый идентификатор сотрудника, соединитель создает новую учетную запись Active Directory для пользователя. |
| Штатный сотрудник становится внештатным или наоборот. | Для нового пользователя создается новая учетная запись Active Directory, а старая учетная запись отключается с официальной даты смены формы сотрудничества. |
Используйте предыдущие результаты, чтобы определить, как перенести автоматическую реализацию подготовки пользователей в рабочую среду на основе установленных временных шкал.
Совет
Когда вы добавляете в тестовую среду рабочие данные, используйте сокращение и очистку данных, чтобы удалять или маскировать конфиденциальные персональные данные в соответствии со стандартами конфиденциальности и безопасности.
Планирование безопасности
Как правило, при развертывании новой службы требуется проверка безопасности. Если проверка безопасности требуется или не была проведена, ознакомьтесь со многими белыми документами по идентификатору Microsoft Entra, которые предоставляют обзор удостоверения как услуги.
Планирование отката
Может оказаться, что в рабочей среде решение функционирует неправильно. В таком случае откатите его к работоспособному состоянию, как описано ниже.
- Ознакомьтесь со сводным отчетом по подготовке, чтобы определить, какие неправильные операции выполнялись с затронутыми пользователями или группами. Дополнительные сведения о сводном отчете по подготовке и журналах см. в статье Управление подготовкой пользователей из облачных приложений для управления персоналом.
- Последнее известное хорошее состояние затронутых пользователей или групп можно определить с помощью журналов аудита подготовки или проверки целевых систем (идентификатор Microsoft Entra или Active Directory).
- Обратитесь к владельцу приложения, чтобы он перенес в данные затронутых пользователей или групп значения последнего работоспособного состояния.
Развертывание облачного приложения для управления персоналом
Выберите облачное приложение, которое соответствует требованиям вашего решения.
Workday: импорт профилей рабочих ролей из Workday в Active Directory и Идентификатор Microsoft Entra см. в руководстве по настройке Workday для автоматической подготовки пользователей. При необходимости в Workday доступна обратная запись адресов электронной почты, имен пользователя и номеров телефонов.
SAP SuccessFactors: импорт профилей рабочих ролей из SuccessFactors в Active Directory и Идентификатор Microsoft Entra см. в руководстве по настройке SAP SuccessFactors для автоматической подготовки пользователей. При необходимости можно записать адрес электронной почты и имя пользователя в SuccessFactors.
Управление конфигурацией
Идентификатор Microsoft Entra может предоставить дополнительные сведения об использовании и работоспособности пользователей вашей организации с помощью журналов аудита и отчетов.
Получение ценных сведений из отчетов и журналов
После успешного начального цикла служба подготовки Microsoft Entra продолжает выполнять добавочные обновления на неопределенный срок с интервалами, определенными в руководствах, относящихся к каждому приложению, до тех пор, пока не произойдет одно из следующих событий:
- Служба остановлена вручную. Новый начальный цикл активируется с помощью Центра администрирования Microsoft Entra или соответствующей команды API Microsoft Graph.
- Из-за изменений сопоставлений атрибутов или фильтров области запускается новый начальный цикл.
- Процесс подготовки помещается в карантин из-за большого количества ошибок. Он остается в карантине более четырех недель, после чего он автоматически отключается.
Чтобы просмотреть эти события и все другие действия, выполняемые службой подготовки, Узнайте, как просматривать журналы и получать отчеты о действиях по подготовке.
Журналы Azure Monitor
Все действия, выполняемые службой подготовки, записываются в журналы аудита Microsoft Entra. Журналы аудита Microsoft Entra можно направлять в журналы Azure Monitor для дальнейшего анализа. С помощью журналов Azure Monitor (также называемых Log Analytics рабочей областью) можно запрашивать данные для поиска событий, анализа тенденций и выполнения корреляции между различными источниками данных. Просмотрите это видео , чтобы узнать о преимуществах использования журналов Azure Monitor для журналов Microsoft Entra в практических сценариях пользователя.
Установите представления log analytics для журналов действий Microsoft Entra, чтобы получить доступ к предварительно созданным отчетам о событиях подготовки в вашей среде.
Дополнительные сведения см. в статье об анализе журналов действий Microsoft Entra с помощью журналов Azure Monitor.
Управление персональными данными
Агент подготовки Microsoft Entra Подключение, установленный на сервере Windows, создает журналы в журнале событий Windows, которые могут содержать персональные данные в зависимости от сопоставлений атрибутов облачного hr-приложения с атрибутами Active Directory. Чтобы обеспечить соблюдение требований к конфиденциальности пользователей, настройте запланированную задачу Windows на очистку журнала событий и убедитесь, что данные не хранятся дольше 48 часов.
Служба подготовки Microsoft Entra не создает отчеты, выполняет аналитику или предоставляет аналитические сведения за 30 дней, так как служба не хранит, не обрабатывает или хранит данные за пределами 30 дней.
Устранение неполадок
Сведения об устранении неполадок, которые могут возникать во время подготовки, см. в следующих статьях:
- Проблема с настройкой подготовки пользователей в приложении коллекции Microsoft Entra
- Синхронизация атрибута из локальная служба Active Directory с идентификатором Microsoft Entra для подготовки к приложению
- Проблема с сохранением учетных данных администратора при настройке подготовки пользователей в приложение коллекции Microsoft Entra
- Никакие пользователи не подготавливаются к приложению коллекции Microsoft Entra
- Неправильный набор пользователей подготавливается к приложению коллекции Microsoft Entra
- Настройка средства просмотра событий Windows для устранения неполадок агента
- Настройка журналов аудита для устранения неполадок служб
- Общие сведения о журналах операций создания учетных записей пользователей AD
- Общие сведения о журналах операций обновления руководителя
- Устранение распространенных ошибок