Migrieren von Identitäts- und Zugriffsverwaltungsszenarios zu Microsoft Entra von Microsoft Identity Manager

Microsoft Identity Manager ist das lokal gehostete Identitäts- und Zugriffsverwaltungsprodukt von Microsoft. Es basiert auf technologien, die im Jahr 2003 eingeführt, kontinuierlich bis heute verbessert und zusammen mit Microsoft Entra Cloud Services unterstützt werden. MIM ist ein Kernbestandteil vieler Identitäts- und Zugriffsverwaltungsstrategien, die Erweiterung der in der Cloud gehosteten Dienste von Microsoft Entra ID und anderer lokaler Agents.

Wichtig

Wir suchen Feedback unserer Kunden darüber, wie sie ihre Migration von Microsoft Identity Manager (MIM) vor Ablauf des Lebenszyklus im Januar 2029 planen.

Bitte nehmen Sie sich zeit, hier eine kleine Umfrage auszufüllen: https://aka.ms/MIMMigrationFeedback

Viele Kunden haben interesse daran geäußert, das Zentrum ihrer Identitäts- und Zugriffsverwaltungsszenarien vollständig in die Cloud zu verschieben. Einige Kunden verfügen nicht mehr über eine lokale Umgebung, während andere die in der Cloud gehostete Identitäts- und Zugriffsverwaltung in ihre verbleibenden lokalen Anwendungen, Verzeichnisse und Datenbanken integrieren. Dieses Dokument enthält Anleitungen zu Migrationsoptionen und -ansätzen für das Verschieben von Identitäts- und Zugriffsverwaltungsszenarien (IAM) von Microsoft Identity Manager auf cloudgehostete Microsoft Entra-Dienste und wird aktualisiert, wenn neue Szenarien für die Migration verfügbar werden. Ähnliche Anleitungen stehen für die Migration anderer lokaler Identitätsverwaltungstechnologien zur Verfügung, einschließlich der Migration von ADFS.

Übersicht zur Migration

MIM implementierte die bewährten Methoden der Identitäts- und Zugriffsverwaltung zum Zeitpunkt des Entwurfs. Seitdem hat sich die Identitäts- und Zugriffsverwaltungslandschaft mit neuen Anwendungen und neuen Geschäftsprioritäten entwickelt, und daher unterscheiden sich die für die Behandlung von IAM-Anwendungsfällen empfohlenen Ansätze in vielen Fällen heute anders als die bisher mit MIM empfohlenen.

Darüber hinaus sollten Organisationen einen mehrstufigen Ansatz für die Szenariomigration planen. Beispielsweise kann eine Organisation die Migration eines Self-Service-Kennwortzurücksetzungsszenarios für Endbenutzer als einen Schritt priorisieren und nach dessen Abschluss ein Bereitstellungsszenario umsetzen. Die Reihenfolge, in der eine Organisation ihre Szenarien verschieben möchte, hängt von ihren allgemeinen IT-Prioritäten und den Auswirkungen auf andere Projektbeteiligte ab, z. B. Endbenutzer, die ein Schulungsupdate benötigen oder Anwendungsbesitzer.

IAM-Szenario in MIM	Link für weitere Informationen zum IAM-Szenario in Microsoft Entra
Bereitstellung aus SAP HR-Quellen	Identitäten von SAP HR in Microsoft Entra ID übertragen
Bereitstellung von Workday und anderen HR-Quellen aus dem Internet	Bereitstellung aus Internet HR-Systemen in Microsoft Entra ID mit Lebenszyklus-Workflows verknüpfen
Bereitstellung aus anderen HR-Quellen vor Ort	Bereitstellung aus lokalen HR-Systemen mit Lebenszyklus-Workflows zum Verknüpfen/Austreten
Bereitstellung für nicht-AD-basierte Anwendungen vor Ort	Bereitstellung von Benutzern von Microsoft Entra ID für lokale Apps
Globale Adresslistenverwaltung (GAL) für verteilte Organisationen	Synchronisierung von Benutzern von einem Microsoft Entra ID-Mandanten zu einem anderen
AD-Sicherheitsgruppen	Verwalten Sie lokale, auf Active Directory basierende Apps (Kerberos) mithilfe von Microsoft Entra ID Governance
Dynamische Gruppen	regelbasierte Microsoft Entra ID-Sicherheitsgruppe und Microsoft 365-Gruppenmitgliedschaften
Self-Service-Gruppenverwaltung	Selbstbedienung von Microsoft Entra ID Sicherheitsgruppen, Microsoft 365 Gruppen und Teams Erstellung und Mitgliederverwaltung
Self-service password management (Self-Service-Kennwortverwaltung)	Selbstbedienungs-Passwort zurücksetzen mit Rückschreibung in AD
Verwaltung von sicheren Anmeldeinformationen	Kennwortlose Authentifizierung für Microsoft Entra ID
Historische Überwachung und Berichterstellung	Archivprotokolle für die Berichterstellung zu Microsoft Entra ID- und Microsoft Entra ID Governance-Aktivitäten mit Azure Monitor
Verwaltung privilegierter Zugriffe	Sichern des privilegierten Zugriffs für Hybrid- und Cloudbereitstellungen in Microsoft Entra ID
Rollenbasierte Zugriffsverwaltung für Unternehmen	Steuern des Zugriffs durch Migrieren eines Organisationsrollenmodells zu Microsoft Entra ID Governance
Nachweis	Zugriffsüberprüfungen für Gruppenmitgliedschaften, Anwendungszuweisungen, Zugriffspakete und Rollen

Benutzerbereitstellung

Die Benutzerbereitstellung liegt im Mittelpunkt der Funktionsweise von MIM. Ob AD oder andere HR-Quellen, Importieren von Benutzern, Aggregieren der Benutzer in der Metaverse und anschließende Bereitstellung für verschiedene Repositorys ist eine seiner Kernfunktionen. Das folgende Diagramm veranschaulicht ein klassisches Bereitstellungs-/Synchronisierungsszenario.

Jetzt stehen viele dieser Benutzerbereitstellungsszenarien mit Microsoft Entra ID und verwandten Angeboten zur Verfügung, mit denen Sie diese Szenarien von MIM migrieren können, um Konten in diesen Anwendungen aus der Cloud zu verwalten.

In den folgenden Abschnitten werden die verschiedenen Bereitstellungsszenarien beschrieben.

Bereitstellung von Internet-HR-Systemen für Active Directory oder Microsoft Entra ID mit Workflows zum Verknüpfen/Verlassen

Unabhängig davon, ob Sie direkt aus dem Internet in Active Directory oder Microsoft Entra ID provisionieren möchten, können Sie dies mit integrierten Integrationen in Microsoft Entra ID erreichen. Die folgenden Anleitungen bieten einen Leitfaden für die Bereitstellung direkt von Ihrer HR-Quelle in AD oder Microsoft Entra ID.

• Tutorial: Konfigurieren von Workday für die automatische Benutzerbereitstellung
• Lernprogramm: Konfigurieren von Workday für die Microsoft Entra-Benutzerbereitstellung

Viele der Cloud-HR-Szenarien umfassen auch die Verwendung automatisierter Workflows. Einige dieser Workflowaktivitäten, die mithilfe der Workflowaktivitätsbibliothek für MIM entwickelt wurden, können zu Microsoft ID Governance Lifecycle-Workflows migriert werden. Viele dieser realen Szenarien können jetzt direkt aus der Cloud erstellt und verwaltet werden. Weitere Informationen findest du in der folgenden Dokumentation.

• Was sind Lebenszyklus-Workflows?
• Automatisieren des Onboardings von Mitarbeitern
• Automatisieren des Offboardings von Mitarbeitern

Bereitstellung von Benutzern aus lokalen HR-Systemen für Microsoft Entra ID mit Workflows zum Verknüpfen und Verlassen

Kunden, die SAP Human Capital Management (HCM) verwenden und SAP SuccessFactors besitzen, können Identitäten in Microsoft Entra ID mithilfe der SAP Integration Suite einbringen, um Listen von Mitarbeitenden zwischen SAP HCM und SAP SuccessFactors zu synchronisieren. Von dort aus können Sie Identitäten direkt in die Microsoft Entra ID einbringen oder sie in Active Directory Domain Services bereitstellen.

Mithilfe der API-gesteuerten eingehenden Bereitstellung ist es jetzt möglich, Benutzer direkt aus Ihrem lokalen HR-System in die Microsoft Entra-ID bereitzustellen. WENN Sie derzeit eine Anwendungsprogrammierschnittstelle (MIM) verwenden, um Benutzer aus einem HR-System zu importieren und sie dann für die Microsoft Entra ID bereitzustellen, können Sie jetzt einen benutzerdefinierten Anwendungsprogrammierschnittstelle-gesteuerten Stecker für die Inbound-Bereitstellung erstellen, um dies zu erreichen. Der Vorteil der Verwendung des API-gesteuerten Bereitstellungsconnectors, um dies über MIM zu erreichen, besteht darin, dass der API-gesteuerte Bereitstellungsconnector viel weniger Aufwand und viel geringerer Speicherbedarf lokal im Vergleich zu MIM hat. Außerdem kann er mit dem API-gesteuerten Bereitstellungsconnector aus der Cloud verwaltet werden. Weitere Informationen zur API-gesteuerten Bereitstellung finden Sie im Folgenden.

• API-gesteuerte Konzepte für Inbound-Provisioning
• Systemintegratoren ermöglichen, mehr Schnittstellen für Stammdatensysteme zu erstellen
• Konfigurieren der API-gesteuerten eingehenden Bereitstellungs-App

Diese können auch Lebenszyklus-Workflows nutzen.

• Was sind Lebenszyklus-Workflows?
• Automatisieren des Onboardings von Mitarbeitern
• Automatisieren des Offboardings von Mitarbeitern

Bereitstellung von Benutzern von Microsoft Entra ID für lokale Apps

Wenn Sie MIM verwenden, um Benutzer für Anwendungen wie SAP ECC, Anwendungen mit einer SOAP- oder REST-API oder Anwendungen mit einer zugrunde liegenden SQL-Datenbank oder einem NICHT-AD LDAP-Verzeichnis bereitzustellen, können Sie jetzt die lokale Anwendungsbereitstellung über den ECMA Connector Host verwenden, um dieselben Aufgaben auszuführen. Der ECMA Connector Host ist Teil eines leichtgewichtigen Agenten und ermöglicht es Ihnen, Ihren MIM-Footprint zu reduzieren. Wenn Sie über benutzerdefinierte Connectors in Ihrer MIM-Umgebung verfügen, können Sie deren Konfiguration zum Agent migrieren. Weitere Informationen finden Sie in der folgenden Dokumentation.

• Architektur der lokalen Bereitstellungsanwendung
• Bereitstellen von Benutzern für SCIM-fähige Apps
• Bereitstellen von Benutzern in SQL-basierten Anwendungen
• Bereitstellen von Benutzern in LDAP-Verzeichnissen
• Bereitstellen von Benutzern in einem LDAP-Verzeichnis für die Linux-Authentifizierung
• Einrichten von Benutzern in Anwendungen mit PowerShell
• Bereitstellung mit dem Webdienst-Connector
• Bereitstellung mit den benutzerdefinierten Anschlüssen

Bereitstellen von Benutzern für Cloud-SaaS-Apps

Die Integration mit SaaS-Anwendungen ist in der Welt des Cloud Computing erforderlich. Viele der Bereitstellungsszenarien, die MIM für SaaS-Apps ausführte, können jetzt direkt über die Microsoft Entra-ID ausgeführt werden. Wenn konfiguriert, macht Microsoft Entra ID automatisch die Bereitstellung und Rückgängigmachung von Benutzern für SaaS-Anwendungen unter Verwendung des Microsoft Entra-Bereitstellungsdienstes. Eine vollständige Liste der SaaS-App-Lernprogramme finden Sie unter dem folgenden Link.

• Lernprogramme für die Integration in SaaS-Apps

Bereitstellen von Benutzern und Gruppen für neue benutzerdefinierte Apps

Wenn Ihre Organisation neue Anwendungen erstellt und Benutzer- oder Gruppeninformationen oder Signale erhalten muss, wenn Benutzer aktualisiert oder gelöscht werden, empfehlen wir der Anwendung, entweder Microsoft Graph zu verwenden, um Microsoft Entra ID abzufragen, oder SCIM zu nutzen, um automatisch bereitgestellt zu werden.

• Über die Microsoft Graph-API
• Entwickeln und Planen der Bereitstellung für einen SCIM-Endpunkt in Microsoft Entra ID
• Bereitstellung von Benutzern für SCIM-fähige Anwendungen, die sich vor Ort befinden

Gruppenverwaltungsszenarien

In der Vergangenheit verwendeten Organisationen MIM zum Verwalten von Gruppen in AD, einschließlich AD-Sicherheitsgruppen und Exchange-DLs, die dann über Microsoft Entra Connect mit Microsoft Entra ID und Exchange Online synchronisiert wurden. Organisationen können jetzt Sicherheitsgruppen in Microsoft Entra ID und Exchange Online verwalten, ohne dass Gruppen in lokales Active Directory erstellt werden müssen.

Dynamische Gruppen

Wenn Sie MIM für die dynamische Gruppenmitgliedschaft verwenden, können diese Gruppen migriert werden, um dynamische Microsoft Entra ID-Gruppen zu sein. Bei attributbasierten Regeln werden Benutzer basierend auf diesen Kriterien automatisch hinzugefügt oder entfernt. Weitere Informationen findest du in der folgenden Dokumentation.

• Erstellen oder Aktualisieren einer dynamischen Gruppe in Microsoft Entra ID

Bereitstellen von Gruppen für AD-basierte Anwendungen

Das Verwalten lokaler Anwendungen mit Active Directory-Gruppen, die in der Cloud bereitgestellt und verwaltet werden, kann jetzt mit der Microsoft Entra-Cloudsynchronisierung durchgeführt werden. Jetzt können Sie mit der Microsoft Entra-Cloudsynchronisierung Anwendungszuweisungen in AD vollständig steuern und gleichzeitig microsoft Entra ID Governance-Features nutzen, um alle zugriffsbezogenen Anforderungen zu steuern und zu beheben.

Weitere Informationen finden Sie unter Steuern von lokalen, auf Active Directory basierenden Apps (Kerberos) mithilfe von Microsoft Entra ID Governance.

Self-Service-Szenarien

MIM wurde auch in Self-Service-Szenarien verwendet, um Daten in Active Directory zu verwalten, für die Verwendung durch Exchange- und AD-integrierte Apps. Jetzt können viele dieser Szenarien aus der Cloud erreicht werden.

Self-Service-Gruppenverwaltung

Sie können Es Benutzern ermöglichen, Sicherheitsgruppen oder Microsoft 365-Gruppen/Teams zu erstellen und dann die Mitgliedschaft ihrer Gruppe zu verwalten.

• Self-Service-Gruppenverwaltungsszenarien

Zugriffsanforderungen mit mehrstufigen Genehmigungen

Die Berechtigungsverwaltung beinhaltet das Konzept von Zugriffspaketen. Ein Zugriffspaket ist ein Bündel aller Ressourcen, mit dem Zugriff, den ein Benutzer benötigt, um an einem Projekt zu arbeiten oder seine Aufgabe auszuführen, einschließlich der Mitgliedschaft in Gruppen, SharePoint Online-Sites oder der Zuweisung zu Anwendungsrollen. Jedes Zugriffspaket enthält Richtlinien, die angeben, wer automatisch Zugriff erhält und wer Zugriff anfordern kann.

• Was ist Berechtigungsverwaltung?

Self-Service-Kennwortzurücksetzung

Microsoft Entra Self-Service Password Reset (SSPR) bietet Benutzern die Möglichkeit, ihr Kennwort zu ändern oder zurückzusetzen. Wenn Sie über eine Hybridumgebung verfügen, können Sie Microsoft Entra Connect so konfigurieren, dass Kennwortänderungsereignisse von Der Microsoft Entra-ID in eine lokales Active Directory zurückgeschrieben werden.

• Self-Service-Kennwortzurücksetzung

Nächste Schritte

• Identitätsarchitekturhandbücher
• Ressourcen für die Verwaltung von Anwendungen auf die Microsoft Entra-ID
• Migrieren sie ADFS-Anwendungen.