An der Ignite 2022 wurde einiges aus der neuen Produktfamilie Microsoft Entra gezeigt. Microsoft Entra ist der zentrale Einstieg für alle Identitäts und Zugriffslösungen. Darunter das Azure Active Directory, Microsoft Entra Permission Mangement und Verified Ids. Eine sehr spannende Neuerungen kommt mit den Lifecycle Workflow aus dem Bereich Identity Governance. Ich möchte euch hier zeigen, was sind die Lifecycle Workflows und wie könnt ihr diese einsetzten. Aktuell ist das Feature noch in der Public Preview.
Was sind Lifecylce Workflows?
Lifecycle Workflows gehören zum Azure Active Directory und bieten Automatisierungsmöglichkeiten für den Ein- und Austrittsprozess von Mitarbeitenden in ihrer Organisation.
Diese Workflows bestehen aus verschiedenen Aufgaben, welche geplant oder nach Bedarf ausgeführt werden können. Der Ablauf der Workflows basiert auf Azure AD User Attributen EmployeeHireDate bzw. dem EmployeLeaveDateTime. Hier das Beispiel von der Microsoft Ignite wie ein solcher Workflow aussehen könnte.
Lifecycle Workflows basieren auf verschiedenen Aufgaben. Zur Auswahl stehen viele vordefinierte Aktionen wie Emails versenden, Account aktivieren und Gruppenzuweisungen. Die Funktionalität kann mit Hilfe von LogicApps erweitert werden um spezifische Bedürfnisse abdecken zu können.
Wir schauen uns nun an wie wir einen solchen Workflow aufbauen und für unsere eigenen Bedürfnisse mit Logic Apps erweitern.
Solutionübersicht
- Erstellung des Users (mit EmployeeHireDate & Manager)
- Sheduled Workflow startet 7 Tage vor dem EmployeeHireDate
- Sendet Email mit Info und TAP an Manager
- Startet LogicApp Workflow
- Erstellt Mitarbeiterdossier auf SharePoint HR Site
- Sendet Link zum Dossier an Manager
- Erstelle Planner Task für Employee onboarding
- Sheduled Workflow startet am EmployeeHireDate
- Aktiviere Benutzer
- Sende Willkommensmail
- Füge Benutzer an definierte Teams hinzu
Lifecycle Workflows
Templates
Starte mit einem einfachen Template für die Workflows. Wir nutzen in unserem Beispiel die Templates pre-hire und new-hire employee. Erstelle den Workflow durch das Auswählen des gewünschten Templates.
Für unsere Lösung nutzen wird zwei verschiedene Workflows. Zuerst den Onboard pre-hire employee Workflow und Onboard new-hire employee Workflow. Die Ausführung der Lifecycle Workflows basiert auf dem Azure AD Attribut EmployeeHireDate. Der Pre Hire Workflow wird zeitgesteuert 7 Tage vor dem EmployeeHireDate gestartet.
Workflow Tasks
Jeder Workflow besteht aus einem oder mehreren Tasks. Unser Workflow beinhaltet folgende vordefinierte Tasks „Add User To Groups“ & „Generate TAP and Send Email“, sowie ein Custom Task Extension. Heisst wir führen auch noch einen benutzerdefinierten Workflow mit Logic Apps aus. Die Standardtasks führen folgende Arbeiten aus:
- Füge Benutzer zu Security Groups hinzu (bspw. Gruppe für Lizenzzuweisung im M365)
- sende Email mit Info und TAP an den Manager des neuen Mitarbeiter
Standardtask (Vordefinierte Aufgaben)
Standardtasks lassen sich mit wenig Aufwand implentieren und es lassen sich auch einige Anpassungen vornehmen. Grundsätzlich sollten Usecases wenn möglich mit den Standardtasks umgesetzt werden.
Custom Task Extension
Um einen Logic App Workflow ausführen zu können, benötige ich eine Custom Task Extension. Wir nutzen im Microsoft Entra Portal den Assistenten für die Erstellung einer Custom Task Extension. Dieser erstellt uns auf unserer Azure Subscription:
- eine Logic App
- ein Workflow mit Trigger und Callback
- Managed Identity
- Authorisation Policies
zu finden unter: Microsoft Entra –> Azure Active Directory –> Identity Governance –> Lifecycle workflows –> Custom Extension –> Add a custom extension
Nach der Erstellung der Custom Extension lässt sich die Logic App verwalten und der Workflow aufbauen.
Nun ist unser Pre Hire Workflow abgeschlossen. Unser Manager hat ein Email mit TAP erhalten. Es wurde ein Dossier für den Mitarbeiter auf SharePoint erstellt und es wurde ein Planner Task für das employee onboarding erstellt.
Der grösste Teil ist erledigt und wir sehen die ersten Resultate. Weiter gehts am EmployeeHireDate mit dem nächsten Workflow.
New Hire Workflow
Am EmployeeHireDate wird der New Hire Workflow ausgeführt. Der New Hire Workflow ist einfach aufgebaut und basiert auf einigen Standardtasks.
- Der User wird aktiviert.
- Es wird eine Willkommensnachricht versendet.
- Der User wird definierten Teams hinzugefügt.
Nun sollte dem ersten Login nichts mehr im Wege stehen. Nach der Durchführung der Workflows sehen wir in der History auch die Resultate:
Auch beim User sind die Resultate zu sehen:
Fazit
Doing more + with less –
Ich denke die Lifecycle Workflows bringen eine grosse Erleichterung im Bezug auf die Automatisierung von Mitarbeitermutationen. Bisher war gerade in kleineren Organisationen die Hemmschwelle gross eine solche Automatisierung einzuführen. Durch Lifecycle Workflow wird die Umsetzung einer solchen Lösung massiv vereinfacht und bietet für viele Organisationen eine grosse Chance.
weitere Ressourcen
What are lifecycle workflows? – Azure Active Directory – Microsoft Entra | Microsoft Learn
Understanding lifecycle workflows- Azure Active Directory – Microsoft Entra | Microsoft Learn
Configure a Logic App for Lifecycle Workflow use – Microsoft Entra | Microsoft Learn
Workflow Extensibility – Azure Active Directory – Microsoft Entra | Microsoft Learn
Excellent post. I definitely love this site. Continue the good work!
Good post. I learn something totally new and challenging on blogs I stumbleupon on a daily basis. Its always useful to read content from other authors and practice something from their websites.
Greetings! Very useful advice within this article! Its the little changes that make the most significant changes. Thanks a lot for sharing!