默认情况下,除非在创建期间指定工作流,否则工作流由具有生命周期工作流或全局管理员角色的用户管理。 随着工作流的增长和变化,以满足组织成员的需求,因此需要限制谁可以管理它们。 使用委派工作流管理,可以使用 管理单元来限定工作流管理的范围。 范围限定时,仅向特定管理员授予管理特定工作流的权限。 通过限定权限范围,可以提高环境中的安全性,遵循Microsoft的最低特权访问准则,仅授予具体所需的访问权限。
下表显示了生命周期工作流管理员角色与生命周期工作流功能范围内的工作流管理员角色之间的差异:
| 能力 | 生命周期工作流管理员 | 工作流管理员 |
|---|---|---|
| 创建工作流 | 是的 | 否 |
| 编辑工作流 | 是的 | 是(仅分配的工作流) |
| 自定义任务扩展 | 是的 | 否 |
| 删除工作流 | 是的 | 是(仅限于分配的工作流) |
| 还原工作流 | 是的 | 是(仅分配的工作流) |
| 查看工作流历史记录 | 是的 | 是(仅分配的工作流) |
| 按需运行工作流 | 是的 | 是(仅限于分配的工作流) |
| 作用域工作流 | 是的 | 否 |
先决条件
使用此功能需要Microsoft Entra ID Governance 或 Microsoft Entra Suite 许可证。 若要查找符合要求的正确许可证,请参阅 Microsoft Entra ID Governance 许可基础知识。 还必须在租户中至少有一个管理单元。 有关创建管理单元的步骤,请参阅 “创建管理单元”。
将生命周期工作流管理员角色分配给管理单元
若要使用管理范围委托工作流管理,必须先将生命周期工作流管理员角色分配给管理单元。 为此,需要执行以下步骤:
小窍门
虽然以下步骤将指导你设置特定用户的角色,但可以将该角色设置为管理单元中的组,以将范围内的管理委托给多个用户。
以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>用户。
在“用户”页上,选择要向其分配管理员范围的用户。
在用户概述页中,选择 “已分配的角色”。
在“指定的角色”页上,选择“ 添加任务”。
在“添加分配”页上,选择以下内容:
选择角色:生命周期工作流管理员
范围类型: 管理单元
在 “所选范围 ”窗格中,选择要将工作流限定为的管理单元,然后选择“ 下一步”。
在 “设置 ”选项卡上,可以将分配设置为 “合格 ”或 “活动”。
注释
分配必须处于活跃状态,才能由管理单元中的用户执行。
选择“保存”。
将管理权限添加到新工作流
若要将管理范围添加到新工作流,请执行以下步骤,在工作流创建过程中设置管理范围:
以至少生命周期工作流管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>生命周期工作流>创建工作流。
在“ 选择工作流 ”页上,选择要使用的工作流模板。
在 “基本信息 ”选项卡上,输入工作流的唯一显示名称、说明和管理范围,然后选择“ 下一步”。
完成设置执行条件、任务和创建工作流。
注释
每个工作流最多可以分配五个管理范围。
使用 Microsoft Entra 管理中心编辑现有工作流的管理范围
在管理单元上为管理员设置角色后,必须编辑要在该管理单元范围内分配的工作流。 若要使用 Microsoft Entra 管理中心编辑要位于管理单元范围内工作流的属性,请执行以下步骤:
以至少生命周期工作流管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>生命周期工作流>工作流。
在工作流列表页上,选择要编辑其管理范围的工作流。
在工作流概述页上,选择 “管理范围”。
小窍门
还可以在概述页上选择 “管理范围”(预览) 卡,以访问“管理范围”页。
在“管理范围”页上,选择“ 分配管理范围”。
在“管理范围”窗格中,可以看到租户中所有管理单元的列表。
请选择要将工作流限定到的管理单元。
选择“保存”。
以编程方式将生命周期工作流管理员角色分配给管理单元
若要通过 API 将生命周期工作流管理员分配到管理单元范围,必须具有以下信息:
- 生命周期工作流管理员角色 ID:59d46f88-662b-457b-bceb-5c3809e5908f
- 要分配作用域的用户的用户 ID
- 要分配的管理单元的 ID
利用此信息,可以进行以下 API 调用:
发布 https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<Object ID of user>",
"roleDefinitionId": "59d46f88-662b-457b-bceb-5c3809e5908f",
"directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
}
使用 Microsoft Entra 管理中心查看工作流的管理范围
管理工作流时,必须了解它们属于哪些管理范围。 这使你可以快速查看谁可以管理每个特定的工作流。 若要查看工作流的管理范围,请执行以下步骤:
以至少生命周期工作流管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>生命周期工作流>工作流。
在工作流列表屏幕上,可以看到在“ 管理范围分配 ”列下分配给工作流的范围数。
选择列中的数字以查看分配给该工作流的范围列表。
使用 Microsoft Entra 管理中心删除工作流的管理范围
可以随时从工作流中删除管理范围。 若要从工作流中删除管理单元范围,请执行以下步骤:
以至少生命周期工作流管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>生命周期工作流>工作流。
在工作流列表页上,选择要从中删除管理范围的工作流。
在工作流概述页上,选择“ 属性”。
在属性下,选择 “管理范围”。
在“管理范围”窗格中,可以看到工作流的所有管理范围的列表。
选择要从中删除工作流的管理范围。
选择“保存”。
使用 Microsoft Graph 编辑工作流的管理范围
若要使用 Microsoft Graph 通过 API 编辑工作流的管理范围,请参阅: 更新工作流。
使用 Microsoft Graph 查看工作流的管理范围
若要使用 Microsoft Graph 通过 API 查看工作流的管理范围,请参阅: 更新工作流。
使用 Microsoft Graph 删除工作流的管理范围
若要使用 Microsoft Graph 通过 API 删除工作流的管理范围,请参阅: 更新工作流。