Planera HR-molnprogram för Azure Active Directory etablering av användare

It-personal har tidigare förlitat sig på manuella metoder för att skapa, uppdatera och ta bort anställda. De har använt metoder som att ladda upp CSV-filer eller anpassade skript för att synkronisera medarbetardata. Dessa etableringsprocesser är felbenägna, osäkra och svåra att hantera.

För att hantera identitetslivscykler för anställda, leverantörer eller bearbetare erbjuder Azure Active Directory-användareableringstjänsten (Azure AD) integrering med molnbaserade HR-program (Human Resources). Exempel på program är Workday eller SuccessFactors.

Azure AD använder den här integreringen för att aktivera följande arbetsflöden för HR-molnprogram (app):

• Etablera användare till Active Directory: Etablera valda uppsättningar med användare från en HR-app i molnet till en eller flera Active Directory-domäner.
• Etablera endast molnbaserade användare till Azure AD: I scenarier där Active Directory inte används etablerar du användare direkt från HR-appen i molnet till Azure AD.
• Skriv tillbaka till HR-appen i molnet: Skriv tillbaka e-postadresserna och användarnamnattributen från Azure AD till HR-appen i molnet.

Aktiverade HR-scenarier

Azure AD-tjänsten för användareablering möjliggör automatisering av följande scenarier för HR-baserad identitetslivscykelhantering:

• Ny medarbetare som anställs: När en ny medarbetare läggs till i HR-appen i molnet skapas ett användarkonto automatiskt i Active Directory och Azure AD med alternativet att skriva tillbaka e-postadressen och användarnamnattributen till HR-appen i molnet.
• Uppdateringar av attribut och profil för medarbetare: När en medarbetares post, till exempel namn, titel eller chef uppdateras i HR-appen i molnet, uppdateras användarkontot automatiskt i Active Directory och Azure AD.
• Uppsägningar av medarbetare: När en medarbetare avslutas i HR-appen i molnet inaktiveras användarkontot automatiskt i Active Directory och Azure AD.
• Medarbetare omserirlar: När en anställd återanställs i HR-appen i molnet kan deras gamla konto automatiskt återaktiveras eller ometableras till Active Directory och Azure AD.

Vem passar den här integreringen bäst?

Integreringen av HR-appen i molnet med Azure AD-användareablering passar utmärkt för organisationer som:

• Vill ha en förbyggd, molnbaserad lösning för HR-användareablering i molnet.
• Kräv direkt användareablering från HR-appen i molnet till Active Directory eller Azure AD.
• Kräv att användare etableras med hjälp av data som hämtas från HR-appen i molnet.
• Kräv att ansluta, flytta och låta användare synkroniseras till en eller flera Active Directory-skogar, domäner och OUs baserat på ändringsinformation som har identifierats i HR-appen i molnet.
• Använd Microsoft 365 för e-post.

Learn

Användareablering skapar en grund för pågående identitetsstyrning. Det förbättrar kvaliteten på affärsprocesser som förlitar sig på auktoritativa identitetsdata.

Termer

I den här artikeln används följande termer:

• Källsystem: Lagringsplatsen för användare som Azure AD tillhandahåller från. Ett exempel är en HR-app i molnet, till exempel Workday eller SuccessFactors.
• Målsystem: Lagringsplatsen för användare som Azure AD tillhandahåller till. Exempel är Active Directory, Azure AD, Microsoft 365 eller andra SaaS-appar.
• Joiners-Movers-Leavers-process: En term som används för nyanställda, överföringar och uppsägningar med hjälp av en HR-app i molnet som ett postsystem. Processen slutförs när tjänsten har tillse de nödvändiga attributen till målsystemet.

Viktiga fördelar

Den här funktionen för HR-driven IT-etablering ger följande betydande affärsfördelar:

• Öka produktiviteten: Nu kan du automatisera tilldelningen av användarkonton och Microsoft 365 licenser och ge åtkomst till nyckelgrupper. Automatisering av tilldelningar ger nyanställda omedelbar åtkomst till sina jobbverktyg och ökar produktiviteten.
• Hantera risker: Du kan öka säkerheten genom att automatisera ändringar baserat på medarbetarstatus eller gruppmedlemskap med data som flödar in från HR-appen i molnet. Automatisering av ändringar säkerställer att användaridentiteter och åtkomst till viktiga appar uppdateras automatiskt när användare övergår till eller lämnar organisationen.
• Hantera efterlevnad och styrning: Azure AD stöder interna granskningsloggar för begäranden om användaretablering som utförs av appar i både käll- och målsystem. Med granskning kan du spåra vem som har åtkomst till apparna från en enda skärm.
• Hantera kostnader: Automatisk etablering minskar kostnaderna genom att undvika ineffektivitet och mänskliga fel som är associerade med manuell etablering. Det minskar behovet av anpassade lösningar för användareablering som skapats med tiden med hjälp av äldre och inaktuella plattformar.

Licensiering

För att konfigurera HR-appen i molnet för integrering av Azure AD-användareetablering behöver du en giltig Azure AD Premium-licens och en licens för HR-appen i molnet, till exempel Workday eller SuccessFactors.

Du behöver också en giltig Azure AD Premium P1 eller högre prenumerationslicens för varje användare som kommer från HR-appen i molnet och etableras till antingen Active Directory eller Azure AD. Felaktigt antal licenser som ägs i HR-appen i molnet kan leda till fel under användareablering.

Förutsättningar

• Azure AD-hybrididentitetsadministratör för att konfigurera Azure AD Anslut etableringsagenten.
• Azure AD-programadministratörsrollen för att konfigurera etableringsappen i Azure Portal
• En test- och produktionsinstans av HR-appen i molnet.
• Administratörsbehörigheter i HR-appen i molnet för att skapa en systemintegreringsanvändare och göra ändringar för att testa medarbetardata i testsyfte.
• För användareablering till Active Directory krävs en server som kör Windows Server 2016 eller högre som värd för Azure AD Anslut etableringsagenten. Den här servern ska vara en server på nivå 0 som baseras på active directory-modellen på administrativ nivå.
• Azure AD Anslut för att synkronisera användare mellan Active Directory och Azure AD.

Utbildningsresurser

Lösningsarkitektur

I följande exempel beskrivs lösningsarkitekturen för etablering från slutanvändare till slutanvändare för vanliga hybridmiljöer och omfattar:

• Auktoritativt HR-dataflöde från HR-molnappen till Active Directory. I det här flödet initieras HR-händelsen (processen Joiners-Movers-Leavers) i HR-appklientorganisationen i molnet. Azure AD-etableringstjänsten och Azure AD Anslut-etableringsagenten etablerar användardata från HR-appklientorganisationen i Active Directory i molnet. Beroende på händelsen kan det leda till att åtgärder skapas, uppdateras, aktiveras och inaktiveras i Active Directory.
• Synkronisera med Azure AD och skriv tillbaka e-post och användarnamn från lokal Active Directory hr-app till molnet. När kontona har uppdaterats i Active Directory synkroniseras de med Azure AD via Azure AD Anslut. E-postadresserna och användarnamnattributen kan skrivas tillbaka till HR-appens klientorganisation i molnet.

Beskrivning av arbetsflöde

Följande viktiga steg visas i diagrammet:

1. HR-teamet utför transaktionerna i HR-appens klientorganisation i molnet.
2. Azure AD-etableringstjänsten kör de schemalagda cyklerna från HR-appens klientorganisation i molnet och identifierar ändringar som måste bearbetas för synkronisering med Active Directory.
3. Azure AD-etableringstjänsten anropar Azure AD Anslut-etableringsagenten med en nyttolast för begäran som innehåller åtgärder för att skapa, uppdatera, aktivera och inaktivera Active Directory-konton.
4. Azure AD Anslut-etableringsagenten använder ett tjänstkonto för att hantera Active Directory-kontodata.
5. Azure AD Anslut kör deltasynkronisering för att hämta uppdateringar i Active Directory.
6. Active Directory-uppdateringar synkroniseras med Azure AD.
7. Azure AD-etableringstjänsten skriver tillbaka e-postattribut och användarnamn från Azure AD till HR-appens klientorganisation i molnet.

Planera distributionsprojekt

Överväg organisationens behov när du fastställer strategin för den här distributionen i din miljö.

Engagera rätt intressenter

När teknikprojekt misslyckas gör de det på grund av att förväntningarna på påverkan, resultat och ansvarsområden inte matchas. Se till att du engagerar rätt intressenter för att undvika dessa fallgropar. Se också till att intressenternas roller i projektet är väl förstådda. Dokumentera intressenterna och deras projektindata och -funktioner.

Inkludera en representant från HR-organisationen som kan ge indata om befintliga HR-affärsprocesser och arbetsidentitet samt krav på bearbetning av jobbdata.

Planera kommunikation

Kommunikation är avgörande för att en ny tjänst ska lyckas. Kommunicera proaktivt med användarna om när och hur deras upplevelse kommer att ändras. Berätta för dem hur de kan få support om de får problem.

Planera ett pilotprojekt

Integreringen av HR-affärsprocesser och identitetsarbetsflöden från HR-molnappen till målsystemen kräver en stor mängd dataverifiering, datatransformering, datarensning och testning från slutet till slut innan du kan distribuera lösningen till produktion.

Kör den inledande konfigurationen i en pilotmiljö innan du skalar den till alla användare i produktion.

Välj anslutningsappar för HR-etablering i molnet

För att underlätta Azure AD-etableringsarbetsflöden mellan HR-appen i molnet och Active Directory kan du lägga till flera anslutningsappar för etablering från Azure AD-appgalleriet:

• Cloud HR-app till Active Directory-användareablering: Den här etableringsanslutningsappen underlättar etablering av användarkonton från HR-molnappen till en enda Active Directory-domän. Om du har flera domäner kan du lägga till en instans av den här appen från Azure AD-appgalleriet för varje Active Directory-domän som du måste etablera till.
• Cloud HR-app till Azure AD-användareetablering: Även om Azure AD Anslut är det verktyg som ska användas för att synkronisera Active Directory-användare till Azure AD kan den här etableringsanslutningsappen användas för att underlätta etableringen av endast molnbaserade användare från HR-appen i molnet till en enda Azure AD-klientorganisation.
• Cloud HR-app för tillbakaskrivning: Den här etableringsanslutningsappen underlättar tillbakaskrivning av användarens e-postadresser från Azure AD till HR-molnappen.

Följande bild visar till exempel de Workday-anslutningsappar som är tillgängliga i Azure AD-appgalleriet.

Beslutsflödesdiagram

Använd följande beslutsflödesdiagram för att identifiera vilka HR-etableringsappar i molnet som är relevanta för ditt scenario.

Utforma distributionstopologin för Azure AD Anslut etableringsagenten

Etableringsintegreringen mellan HR-appen i molnet och Active Directory kräver fyra komponenter:

• Klientorganisation för HR-app i molnet
• Etableringsanslutningsapp
• Azure AD Anslut etableringsagent
• Active Directory-domän

Distributionstopologin för Azure AD Anslut-etableringsagenten beror på antalet HR-appklienter i molnet och underordnade Active Directory-domäner som du planerar att integrera. Om du har flera Active Directory-domäner beror det på om Active Directory-domänerna är sammanhängande eller inte.

Välj ett av distributionsscenarierna baserat på ditt beslut:

• Klientorganisation för HR-app i > en eller flera underordnade Active Directory-domäner i en betrodd skog
• Klientorganisation för HR-app i > som är mål för flera underordnade domäner i en indelig Active Directory-skog

Klientorganisation för HR-app i > en eller flera underordnade Active Directory-domäner i en betrodd skog

Vi rekommenderar följande produktionskonfiguration:

Klientorganisation för HR-app i > som är mål för flera underordnade domäner i en indelig Active Directory-skog

I det här scenariot ingår att etablera användare från HR-molnappen till domäner i olika Active Directory-skogar.

Vi rekommenderar följande produktionskonfiguration:

Krav för Azure AD Anslut etableringsagent

Molnlösningen för HR-app till Active Directory-användareablering kräver att du distribuerar en eller flera Azure AD Anslut-etableringsagenter på servrar som kör Windows Server 2016 eller större. Servrarna måste ha minst 4 GB RAM-minne och .NET 4.7.1+ körning. Kontrollera att värdservern har nätverksåtkomst till Active Directory-måldomänen.

För att förbereda den lokala miljön registrerar konfigurationsguiden för Azure AD Anslut-etableringsagenten agenten med din Azure AD-klientorganisation, öppnar portar,tillåter åtkomst till URL:er och stöder konfiguration av utgående HTTPS-proxy.

Etableringsagenten konfigurerar ett globalt hanterat tjänstkonto (GMSA) för att kommunicera med Active Directory-domänerna. Om du vill använda ett icke-GMSA-tjänstkonto för etablering kan du hoppa över GMSA-konfigurationen och ange ditt tjänstkonto under konfigurationen.

Du kan välja domänkontrollanter som ska hantera etableringsbegäranden. Om du har flera geografiskt distribuerade domänkontrollanter installerar du etableringsagenten på samma plats som dina önskade domänkontrollanter. Den här placeringen förbättrar tillförlitligheten och prestandan för lösningen från slutet till slut.

För hög tillgänglighet kan du distribuera fler än en Azure AD Anslut etableringsagent. Registrera agenten för att hantera samma uppsättning lokal Active Directory domäner.

Utforma distributionstopologin för HR-etableringsappen

Beroende på antalet Active Directory-domäner som ingår i konfigurationen för inkommande användareablering kan du överväga någon av följande distributions topologier. Varje topologidiagram använder ett exempelscenario för distribution för att lyfta fram konfigurationsaspekter. Använd exemplet som liknar ditt distributionskrav för att fastställa vilken konfiguration som uppfyller dina behov.

Distributionstopologi 1: En enda app för att etablera alla användare från Cloud HR till lokal Active Directory domän

Det här är den vanligaste distributionstopologin. Använd den här topologin om du behöver etablera alla användare från Cloud HR till en enda AD-domän och samma etableringsregler gäller för alla användare.

Viktiga konfigurationsaspekter

• Konfigurera två etableringsagentnoder för hög tillgänglighet och redundans.
• Använd konfigurationsguiden för etableringsagenten för att registrera din AD-domän med din Azure AD-klientorganisation.
• När du konfigurerar etableringsappen väljer du AD-domänen i listrutan med registrerade domäner.
• Om du använder omfångsfilter konfigurerar du flaggan hoppa över omfångsborttagningar för att förhindra oavsiktliga kontoinaktiveringar.

Distributionstopologi 2: Separata appar för att etablera distinkta användaruppsättningar från Cloud HR till lokal Active Directory domän

Den här topologin stöder affärskrav där attributmappning och etableringslogik skiljer sig beroende på användartyp (medarbetare/leverantör), användarplats eller användarens affärsenhet. Du kan också använda den här topologin för att delegera administration och underhåll av inkommande användareablering baserat på division eller land.

Viktiga konfigurationsaspekter

• Konfigurera två etableringsagentnoder för hög tillgänglighet och redundans.
• Skapa en HR2AD-etableringsapp för varje specifik användaruppsättning som du vill etablera.
• Använd omfångsfilter i etableringsappen för att definiera användare som ska bearbetas av varje app.
• För att hantera scenariot där chefsreferenser måste lösas över olika användaruppsättningar (t.ex. leverantörer som rapporterar till chefer som är anställda) kan du skapa en separat HR2AD-etableringsapp för att endast uppdatera manager-attributet. Ange omfånget för den här appen till alla användare.
• Konfigurera flaggan hoppa över borttagningar av omfång för att förhindra oavsiktliga kontoinaktiveringar.

Distributionstopologi 3: Separata appar för att etablera distinkta användaruppsättningar från Cloud HR till flera lokal Active Directory domäner (ingen synlighet mellan domäner)

Använd den här topologin för att hantera flera oberoende underordnade AD-domäner som tillhör samma skog, om det alltid finns hanterare i samma domän som användaren och dina unika ID-genereringsregler för attribut som userPrincipalName, samAccountName och mail inte kräver en skogsomfattande sökning. Det ger också flexibiliteten att delegera administrationen av varje etableringsjobb efter domängräns.

Exempel: I diagrammet nedan konfigureras etableringsapparna för varje geografisk region: Nordamerika (NA), Europa, Mellanöstern och Afrika (EMEA) och Asien och stillahavsområdet (APAC). Beroende på plats etableras användarna till respektive AD-domän. Delegerad administration av etableringsappen är möjlig så att EMEA-administratörer kan hantera etableringskonfigurationen för användare som tillhör EMEA-regionen.

Viktiga konfigurationsaspekter

• Konfigurera två etableringsagentnoder för hög tillgänglighet och redundans.
• Använd konfigurationsguiden för etableringsagenten för att registrera alla underordnade AD-domäner med din Azure AD-klientorganisation.
• Skapa en separat HR2AD-etableringsapp för varje måldomän.
• När du konfigurerar etableringsappen väljer du respektive underordnad AD-domän i listrutan över tillgängliga AD-domäner.
• Använd omfångsfilter i etableringsappen för att definiera användare som ska bearbetas av varje app.
• Konfigurera flaggan hoppa över borttagningar av omfång för att förhindra oavsiktliga kontoinaktiveringar.

Distributionstopologi 4: Separata appar för att etablera distinkta användaruppsättningar från Cloud HR till flera lokal Active Directory domäner (med synlighet mellan domäner)

Använd den här topologin för att hantera flera oberoende underordnade AD-domäner som tillhör samma skog, om en användares chef kan finnas i den andra domänen och dina unika ID-genereringsregler för attribut som userPrincipalName, samAccountName och mail kräver en skogsomfattande sökning.

Exempel: I diagrammet nedan konfigureras etableringsapparna för varje geografisk region: Nordamerika (NA), Europa, Mellanöstern och Afrika (EMEA) och Asien och stillahavsområdet (APAC). Beroende på plats etableras användarna till respektive AD-domän. Referenser för hanterare över flera domäner och sökning över hela skogen hanteras genom att aktivera referensreferenser på etableringsagenten.

Viktiga konfigurationsaspekter

• Konfigurera två etableringsagentnoder för hög tillgänglighet och redundans.
• Konfigurera hänvisning på etableringsagenten.
• Använd konfigurationsguiden för etableringsagenten för att registrera den överordnade AD-domänen och alla underordnade AD-domäner med din Azure AD-klientorganisation.
• Skapa en separat HR2AD-etableringsapp för varje måldomän.
• När du konfigurerar varje etableringsapp väljer du den överordnade AD-domänen i listrutan över tillgängliga AD-domäner. Detta säkerställer skogsomfattande sökning vid generering av unika värden för attribut som userPrincipalName, samAccountName och mail.
• Använd parentDistinguishedName med uttrycksmappning för att dynamiskt skapa användare i rätt underordnad domän och OU-container.
• Använd omfångsfilter i etableringsappen för att definiera användare som ska bearbetas av varje app.
• Om du vill lösa referenser för hanterare mellan domäner skapar du en separat HR2AD-etableringsapp för uppdatering av endast manager-attributet. Ange omfånget för den här appen till alla användare.
• Konfigurera flaggan hoppa över borttagningar av omfång för att förhindra oavsiktliga kontoinaktiveringar.

Distributionstopologi 5: En app för att etablera alla användare från Cloud HR till flera lokal Active Directory-domäner (med synlighet mellan domäner)

Använd den här topologin om du vill använda en enda etableringsapp för att hantera användare som tillhör alla dina överordnade och underordnade AD-domäner. Den här topologin rekommenderas om etableringsreglerna är konsekventa i alla domäner och det inte finns något krav på delegerad administration av etableringsjobb. Den här topologin stöder matchning av referenser för hanterare mellan domäner och kan utföra unikhetskontroll för hela skogen.

Exempel: I diagrammet nedan hanterar en enda etableringsapp användare som finns i tre olika underordnade domäner grupperade efter region: Nordamerika (NA), Europa, Mellanöstern och Afrika (EMEA) och Asien och stillahavsområdet (APAC). Attributmappningen för parentDistinguishedName används för att dynamiskt skapa en användare i lämplig underordnad domän. Referenser för hanterare över flera domäner och sökning över hela skogen hanteras genom att aktivera referensreferenser på etableringsagenten.

Viktiga konfigurationsaspekter

• Konfigurera två etableringsagentnoder för hög tillgänglighet och redundans.
• Konfigurera hänvisning på etableringsagenten.
• Använd konfigurationsguiden för etableringsagenten för att registrera den överordnade AD-domänen och alla underordnade AD-domäner med din Azure AD-klientorganisation.
• Skapa en enda HR2AD-etableringsapp för hela skogen.
• När du konfigurerar etableringsappen väljer du den överordnade AD-domänen i listrutan över tillgängliga AD-domäner. Detta säkerställer skogsomfattande sökning vid generering av unika värden för attribut som userPrincipalName, samAccountName och mail.
• Använd parentDistinguishedName med uttrycksmappning för att dynamiskt skapa användare i rätt underordnad domän och OU-container.
• Om du använder omfångsfilter konfigurerar du flaggan hoppa över omfångsborttagningar för att förhindra oavsiktliga kontoinaktiveringar.

Distributionstopologi 6: Separata appar för att etablera distinkta användare från Cloud HR till frånkopplade lokal Active Directory skogar

Använd den här topologin om IT-infrastrukturen har frånkopplade/åtskilda AD-skogar och du behöver etablera användare till olika skogar baserat på anknytning till verksamheten. Exempel: Användare som arbetar för dotterbolaget Contoso måste etableras i contoso.com-domänen, medan användare som arbetar för dotterbolaget Fabrikam måste etableras i fabrikam.com domänen.

Viktiga konfigurationsaspekter

• Konfigurera två olika uppsättningar med etableringsagenter för hög tillgänglighet och redundans, en för varje skog.
• Skapa två olika etableringsappar, en för varje skog.
• Om du behöver matcha referenser mellan domäner i skogen aktiverar du referensreferens på etableringsagenten.
• Skapa en separat HR2AD-etableringsapp för varje frånkopplad skog.
• När du konfigurerar varje etableringsapp väljer du lämplig överordnad AD-domän i listrutan med tillgängliga AD-domännamn.
• Konfigurera flaggan hoppa över borttagningar av omfång för att förhindra oavsiktliga kontoinaktiveringar.

Distributionstopologi 7: Avgränsa appar för att etablera distinkta användare från flera Cloud HR till frånkopplade lokal Active Directory skogar

I stora organisationer är det inte ovanligt att ha flera HR-system. Under scenarier med affärs-M&A (sammanslagningar och förvärv) kan du stöta på ett behov av att ansluta dina lokal Active Directory till flera HR-källor. Vi rekommenderar topologin nedan om du har flera HR-källor och vill kanala identitetsdata från dessa HR-källor till antingen samma eller olika lokal Active Directory domäner.

Viktiga konfigurationsaspekter

• Konfigurera två olika uppsättningar med etableringsagenter för hög tillgänglighet och redundans, en för varje skog.
• Om du behöver matcha referenser mellan domäner i skogen aktiverar du referensreferens på etableringsagenten.
• Skapa en separat HR2AD-etableringsapp för varje HR-system och lokal Active Directory kombination.
• När du konfigurerar varje etableringsapp väljer du lämplig överordnad AD-domän i listrutan med tillgängliga AD-domännamn.
• Konfigurera flaggan hoppa över borttagningar av omfång för att förhindra oavsiktliga kontoinaktiveringar.

Planera omfångsfilter och attributmappning

När du aktiverar etablering från HR-appen i molnet till Active Directory eller Azure AD, styr Azure Portal attributvärdena via attributmappning.

Definiera omfångsfilter

Använd omfångsfilter för att definiera de attributbaserade regler som avgör vilka användare som ska etableras från HR-appen i molnet till Active Directory eller Azure AD.

När du initierar kopplingsprocessen samlar du in följande krav:

• Används HR-appen i molnet för att ta med både anställda och bearbetare?
• Planerar du att använda HR-appen i molnet till Azure AD-användareablering för att hantera både anställda och bearbetare?
• Planerar du att distribuera HR-molnappen till Azure AD-användaresetablering endast för en delmängd av HR-appanvändarna i molnet? Ett exempel kan vara endast anställda.

När du konfigurerar attributmappningar kan du, beroende på dina krav, ange fältet Källobjektomfång för att välja vilka uppsättningar användare i HR-appen i molnet som ska vara i omfånget för etablering till Active Directory. Mer information finns i självstudien om HR-app i molnet för vanliga omfångsfilter.

Fastställa matchande attribut

Med etablering får du möjlighet att matcha befintliga konton mellan käll- och målsystemet. När du integrerar HR-molnappen med Azure AD-etableringstjänsten kan du konfigurera attributmappning för att avgöra vilka användardata som ska flöda från HR-appen i molnet till Active Directory eller Azure AD.

När du initierar kopplingsprocessen samlar du in följande krav:

• Vilket är det unika ID:t i den här HR-appen i molnet som används för att identifiera varje användare?
• Hur hanterar du återanröjningar ur ett livscykelperspektiv för identiteter? Behåller de sina gamla medarbetar-ID:erna igen?
• Bearbetar du framtida daterade anställningar och skapar Active Directory-konton för dem i förväg?
• Ur ett livscykelperspektiv för identiteter, hur hanterar du medarbetare till betingad arbetskonvertering eller på annat sätt?
• Behåller konverterade användare sina gamla Active Directory-konton eller får de nya?

Beroende på dina krav stöder Azure AD direkt attribut-till-attributmappning genom att tillhandahålla konstanta värden eller skriva uttryck för attributmappningar. Den här flexibiliteten ger dig den ultimata kontrollen över vad som finns i målappattributet. Du kan använda Microsoft Graph API och Graph Explorer för att exportera attributmappningar och scheman för användaretablering till en JSON-fil och importera den tillbaka till Azure AD.

Som standard används attributet i HR-appen i molnet som representerar det unika medarbetar-ID:t som matchande attribut som mappas till det unika attributet i Active Directory. I appscenariot Workday mappas till exempel workday WorkerID-attributet till attributet Active Directory employeeID.

Du kan ange flera matchande attribut och tilldela matchande prioritet. De utvärderas utifrån matchande prioritet. Så snart en matchning hittas utvärderas inga ytterligare matchande attribut.

Du kan också anpassa standardattributmappningarna,till exempel ändra eller ta bort befintliga attributmappningar. Du kan också skapa nya attributmappningar enligt dina affärsbehov. Mer information finns i självstudien om HR-appen i molnet (till exempel Workday)för en lista över anpassade attribut att mappa.

Fastställa användarkontostatus

Som standard mappar etableringsanslutningsappen STATUS för HR-användarprofilen till användarkontostatusen i Active Directory eller Azure AD för att avgöra om användarkontot ska aktiveras eller inaktiveras.

När du startar Joiners-Leavers bör du samla in följande krav.

Beroende på dina krav kan du anpassa mappningslogiken med hjälp av Azure AD-uttryck så att Active Directory-kontot aktiveras eller inaktiveras baserat på en kombination av datapunkter.

Mappa HR-molnappen till Active Directory-användarattribut

Varje HR-molnapp levereras med HR-standardappen i molnet till Active Directory-mappningar.

När du initierar processen Joiners-Movers-Leavers samlar du in följande krav.

Beroende på dina krav kan du ändra mappningarna för att uppfylla dina integreringsmål. Mer information finns i den specifika självstudien om HR-app i molnet (till exempel Workday)för en lista över anpassade attribut att mappa.

Generera ett unikt attributvärde

När du initierar kopplingsprocessen kan du behöva generera unika attributvärden när du anger attribut som CN, samAccountName och UPN, som har unika begränsningar.

Azure AD-funktionen SelectUniqueValues utvärderar varje regel och kontrollerar sedan värdet som genereras för unikhet i målsystemet. Ett exempel finns i Generera unikt värde för attributet userPrincipalName (UPN).

Konfigurera tilldelning av Active Directory OU-container

Det är ett vanligt krav att placera Active Directory-användarkonton i containrar baserat på affärsenheter, platser och avdelningar. När du initierar en flyttprocess, och om det finns en pågående organisationsändring, kan du behöva flytta användaren från en organisationsenhet till en annan i Active Directory.

Använd funktionen Switch() för att konfigurera affärslogiken för OU-tilldelningen och mappa den till Active Directory-attributet parentDistinguishedName.

Om du till exempel vill skapa användare i organisationsenheten baserat på HR-attributet Attribut kan du använda följande uttryck:

Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")

Med det här uttrycket skapas användarkontot i motsvarande organisationsenhet om Värdet Förr är Dallas, Seattle eller London. Om det inte finns någon matchning skapas kontot i standard-OU:n.

Planera för lösenordsleverans av nya användarkonton

När du initierar anslutningsprocessen måste du ange och leverera ett tillfälligt lösenord för nya användarkonton. Med etablering av HR till Azure AD-användare i molnet kan du distribuera azure AD-funktionen för självbetjäning av lösenordsåterställning (SSPR) för användaren dag ett.

SSPR är ett enkelt sätt för IT-administratörer att låta användare återställa sina lösenord eller låsa upp sina konton. Du kan etablera attributet Mobilnummer från HR-appen i molnet till Active Directory och synkronisera det med Azure AD. När attributet Mobilnummer finns i Azure AD kan du aktivera SSPR för användarens konto. På dag ett kan den nya användaren sedan använda det registrerade och verifierade mobilnumret för autentisering. Se SSPR-dokumentationen för information om hur du fyller i autentiseringens kontaktinformation i förväg.

Planera för den inledande cykeln

När Azure AD-etableringstjänsten körs för första gången utför den en inledande cykel mot HR-appen i molnet för att skapa en ögonblicksbild av alla användarobjekt i HR-appen i molnet. Hur lång tid det tar för de första cyklerna beror direkt på hur många användare som finns i källsystemet. Den inledande cykeln för vissa HR-appklienter i molnet med över 100 000 användare kan ta lång tid.

För stora HR-appklienter i molnet (>30 000 användare) kör du den inledande cykeln i progressiva steg. Starta de inkrementella uppdateringarna först när du har verifierat att rätt attribut har angetts i Active Directory för olika användaretableringsscenarier. Följ ordern här.

1. Kör endast den inledande cykeln för en begränsad uppsättning användare genom att ange omfångsfiltret.
2. Kontrollera etableringen av Active Directory-kontot och de attributvärden som angetts för de användare som valts för den första körningen. Om resultatet uppfyller dina förväntningar expanderar du omfångsfiltret för att progressivt inkludera fler användare och verifiera resultatet för den andra körningen.

När du är nöjd med resultatet av den inledande cykeln för testanvändare startar du de inkrementella uppdateringarna.

Planera testning och säkerhet

Se till att du testar att resultaten är som förväntat och granska etableringscyklerna i varje fas av distributionen från den första piloten genom att aktivera användareablering.

Planera testning

När du har konfigurerat HR-appen i molnet med Azure AD-användareablering kan du köra testfall för att kontrollera om den här lösningen uppfyller organisationens krav.

Använd föregående resultat för att bestämma hur du ska övergå från den automatiska implementeringen av användareablering till produktion baserat på dina etablerade tidslinjer.

Planera säkerhet

Det är vanligt att en säkerhetsgranskning krävs som en del av distributionen av en ny tjänst. Om en säkerhetsgranskning krävs eller inte har utförts kan du läsa de många faktabladen om Azure AD som ger en översikt över identiteten som en tjänst.

Planera återställning

Implementeringen av HR-användareetablering i molnet kanske inte fungerar som du vill i produktionsmiljön. I så fall kan följande återställningssteg hjälpa dig att återgå till ett tidigare känt bra tillstånd.

1. Granska etableringssammanfattningsrapporten och etableringsloggarna för att avgöra vilka felaktiga åtgärder som utfördes på de berörda användarna eller grupperna. Mer information om etableringssammanfattningsrapporten och loggar finns i Hantera användare av HR-appanvändaretablering i molnet.
2. Det senast kända tillståndet för de användare eller grupper som påverkas kan fastställas via granskningsloggarna för etablering eller genom att granska målsystemen (Azure AD eller Active Directory).
3. Arbeta med appägaren för att uppdatera de användare eller grupper som påverkas direkt i appen med hjälp av de senast kända värdena för bra tillstånd.

Distribuera HR-appen i molnet

Välj den HR-molnapp som passar dina lösningskrav.

Workday: Om du vill importera arbetsprofiler från Workday till Active Directory och Azure AD kan du gå till Självstudie: Konfigurera Workday för automatisk användareablering. Du kan också skriva tillbaka e-postadressen, användarnamnet och telefonnumret till Workday.

SAP SuccessFactors: Om du vill importera arbetsprofiler från SuccessFactors till Active Directory och Azure AD kan du gå till Självstudie: Konfigurera SAP SuccessFactors för automatisk användareablering. Du kan också skriva tillbaka e-postadressen och användarnamnet till SuccessFactors.

Hantera konfigurationen

Azure AD kan ge ytterligare insikter om din organisations användning av användareetablering och drifthälsa via granskningsloggar och rapporter.

Få insikter från rapporter och loggar

Efter en lyckad inledande cykel fortsätter Azure AD-etableringstjänsten att köra inkrementella uppdateringar back-to-back på obestämd tid, med intervall som definieras i de självstudier som är specifika för varje app, tills någon av följande händelser inträffar:

• Tjänsten stoppas manuellt. En ny inledande cykel utlöses med hjälp av Azure Portal eller lämpligt Microsoft Graph API-kommando.
• En ny inledande cykel utlöses på grund av en ändring i attributmappningar eller omfångsfilter.
• Etableringsprocessen försättas i karantän på grund av en hög felfrekvens. Den förblir i karantän i mer än fyra veckor, då den inaktiveras automatiskt.

Om du vill granska dessa händelser och alla andra aktiviteter som utförs av etableringstjänsten kan du läsa om hur du granskar loggar och hämtar rapporter om etableringsaktiviteten.

Azure Monitor-loggar

Alla aktiviteter som utförs av etableringstjänsten registreras i Azure AD-granskningsloggarna. Du kan dirigera Azure AD-granskningsloggar till Azure Monitor för ytterligare analys. Med Azure Monitor loggar (även kallat Log Analytics-arbetsyta) kan du fråga efter data för att hitta händelser, analysera trender och utföra korrelation mellan olika datakällor. Titta på den här videon om du vill lära dig fördelarna med Azure Monitor loggar för Azure AD-loggar i praktiska användarscenarier.

Installera Log Analytics-vyerna för Azure AD-aktivitetsloggar för att få åtkomst till fördefinierade rapporter om etableringshändelser i din miljö.

Mer information finns i så här analyserar du Azure AD-aktivitetsloggarna med dina Azure Monitor loggar.

Hantera personliga data

Azure AD Anslut-etableringsagenten som är installerad på Windows-servern skapar loggar i Windows-händelseloggen som kan innehålla personliga data beroende på din HR-molnapp till Active Directory-attributmappningar. För att uppfylla användarnas sekretesskrav ställer du in en schemalagd aktivitet Windows att rensa händelseloggen och se till att inga data sparas längre än 48 timmar.

Azure AD-etableringstjänsten genererar inte rapporter, utför analyser eller ger insikter längre än 30 dagar eftersom tjänsten inte lagrar, bearbetar eller behåller några data längre än 30 dagar.

Felsöka

Information om hur du felsöker eventuella problem som kan uppna under etableringen finns i följande artiklar:

• Problem med att konfigurera användareablering till ett Azure AD-galleriprogram
• Synkronisera ett attribut från din lokal Active Directory till Azure AD för etablering till ett program
• Problem med att spara administratörsautentiseringsuppgifter när du konfigurerar användareablering till ett Azure Active Directory Gallery-program
• Inga användare etableras till ett Azure AD-galleriprogram
• Fel uppsättning användare etableras till ett Azure AD-galleriprogram
• Konfigurera Windows Loggboken för agentfelsökning
• Konfigurera Azure Portal för felsökning av tjänsten
• Förstå loggar för åtgärder för att skapa AD-användarkonto
• Förstå loggar för Manager-uppdateringsåtgärder
• Lösa vanliga fel

Nästa steg

• Skriva uttryck för attributmappningar
• Översikt över AZURE AD-synkroniserings-API
• Hoppa över borttagning av användarkonton som inte omfattas
• Azure AD Anslut-etableringsagent: Versionshistorik