Migrieren von Identitäts- und Zugriffsverwaltungsszenarios zu Microsoft Entra von Microsoft Identity Manager

Microsoft Identity Manager ist das lokal gehostete Identitäts- und Zugriffsverwaltungsprodukt von Microsoft. Es basiert auf technologien, die im Jahr 2003 eingeführt, kontinuierlich bis heute verbessert und zusammen mit Microsoft Entra Cloud Services unterstützt werden. MIM ist ein Kernbestandteil vieler Identitäts- und Zugriffsverwaltungsstrategien, die Erweiterung der in der Cloud gehosteten Dienste von Microsoft Entra ID und anderer lokaler Agents.

Viele Kunden haben interesse daran geäußert, das Zentrum ihrer Identitäts- und Zugriffsverwaltungsszenarien vollständig in die Cloud zu verschieben. Einige Kunden verfügen nicht mehr über eine lokale Umgebung, während andere die in der Cloud gehostete Identitäts- und Zugriffsverwaltung in ihre verbleibenden lokalen Anwendungen, Verzeichnisse und Datenbanken integrieren. Dieses Dokument enthält Anleitungen zu Migrationsoptionen und -ansätzen für das Verschieben von Identitäts- und Zugriffsverwaltungsszenarien (IAM) von Microsoft Identity Manager auf cloudgehostete Microsoft Entra-Dienste und wird aktualisiert, wenn neue Szenarien für die Migration verfügbar werden. Ähnliche Anleitungen stehen für die Migration anderer lokaler Identitätsverwaltungstechnologien zur Verfügung, einschließlich der Migration von ADFS.

Übersicht zur Migration

MIM implementierte die bewährten Methoden der Identitäts- und Zugriffsverwaltung zum Zeitpunkt des Entwurfs. Seitdem hat sich die Identitäts- und Zugriffsverwaltungslandschaft mit neuen Anwendungen und neuen Geschäftsprioritäten entwickelt, und daher unterscheiden sich die für die Behandlung von IAM-Anwendungsfällen empfohlenen Ansätze in vielen Fällen heute anders als die bisher mit MIM empfohlenen.

Darüber hinaus sollten Organisationen einen mehrstufigen Ansatz für die Szenariomigration planen. Beispielsweise kann eine Organisation die Migration eines Self-Service-Kennwortzurücksetzungsszenarios für Endbenutzer als einen Schritt priorisieren und dann nach Abschluss eines Bereitstellungsszenarios verschieben. Die Reihenfolge, in der eine Organisation ihre Szenarien verschieben möchte, hängt von ihren allgemeinen IT-Prioritäten und den Auswirkungen auf andere Projektbeteiligte ab, z. B. Endbenutzer, die ein Schulungsupdate benötigen oder Anwendungsbesitzer.

IAM-Szenario in MIM	Link für weitere Informationen zum IAM-Szenario in Microsoft Entra
Bereitstellung aus SAP HR-Quellen	Identitäten von SAP HR in Microsoft Entra ID übertragen
Bereitstellung aus Workday und anderen Cloud HR-Quellen	Bereitstellung von Cloud HR-Systemen in Microsoft Entra-ID mit Join-/Leave-Lebenszyklusworkflows
Bereitstellung aus anderen lokalen HR-Quellen	Bereitstellung von lokalen HR-Systemen mit Verknüpfungs-/Verlassen-Lebenszyklusworkflows
Bereitstellung für nicht AD-basierte lokale Anwendungen	Bereitstellen von Benutzern aus der Microsoft Entra-ID in lokale Apps
Globale Adresslistenverwaltung (GAL) für verteilte Organisationen	Synchronisierung von Benutzern von einem Microsoft Entra ID-Mandanten zu einem anderen
AD-Sicherheitsgruppen	Steuern lokales Active Directory basierender Apps (Kerberos) mithilfe von Microsoft Entra ID Governance
Dynamische Gruppen	regelbasierte Microsoft Entra ID-Sicherheitsgruppe und Microsoft 365-Gruppenmitgliedschaften
Self-Service-Gruppenverwaltung	Self-Service Microsoft Entra ID-Sicherheitsgruppe, Microsoft 365-Gruppen und Teams-Erstellung und Mitgliedschaftsverwaltung
Self-service password management (Self-Service-Kennwortverwaltung)	Self-Service-Kennwortzurücksetzung mit Rückschreiben in AD
Verwaltung von sicheren Anmeldeinformationen	Kennwortlose Authentifizierung für Microsoft Entra ID
Historische Überwachung und Berichterstellung	Archivprotokolle für die Berichterstellung zu Microsoft Entra ID- und Microsoft Entra ID Governance-Aktivitäten mit Azure Monitor
Privileged Access Management	Schützen des privilegierten Zugriffs für Hybrid- und Cloudbereitstellungen in Microsoft Entra ID
Rollenbasierte Zugriffsverwaltung für Unternehmen	Steuern des Zugriffs durch Migrieren eines Organisationsrollenmodells zu Microsoft Entra ID Governance
Nachweis	Zugriffsüberprüfungen für Gruppenmitgliedschaften, Anwendungszuweisungen, Zugriffspakete und Rollen

Benutzerbereitstellung

Die Benutzerbereitstellung liegt im Mittelpunkt der Funktionsweise von MIM. Ob AD oder andere HR-Quellen, Importieren von Benutzern, Aggregieren der Benutzer in der Metaverse und anschließende Bereitstellung für verschiedene Repositorys ist eine seiner Kernfunktionen. Das folgende Diagramm veranschaulicht ein klassisches Bereitstellungs-/Synchronisierungsszenario.

Jetzt stehen viele dieser Benutzerbereitstellungsszenarien mit Microsoft Entra ID und verwandten Angeboten zur Verfügung, mit denen Sie diese Szenarien von MIM migrieren können, um Konten in diesen Anwendungen aus der Cloud zu verwalten.

In den folgenden Abschnitten werden die verschiedenen Bereitstellungsszenarien beschrieben.

Bereitstellung von Cloud HR-Systemen in Active Directory oder Microsoft Entra ID mit Verknüpfungs-/Verlassen-Workflows

Ganz gleich, ob Sie direkt aus der Cloud in Active Directory oder Microsoft Entra-ID bereitstellen möchten, dies kann mithilfe integrierter Integrationen zu Microsoft Entra ID erreicht werden. Die folgenden Lernprogramme enthalten Anleitungen zur direkten Bereitstellung von Ihrer HR-Quelle in AD oder Microsoft Entra ID.

• Tutorial: Konfigurieren von Workday für die automatische Benutzerbereitstellung
• Lernprogramm: Konfigurieren von Workday für die Microsoft Entra-Benutzerbereitstellung

Viele der Cloud-HR-Szenarien umfassen auch die Verwendung automatisierter Workflows. Einige dieser Workflowaktivitäten, die mithilfe der Workflowaktivitätsbibliothek für MIM entwickelt wurden, können zu Microsoft ID Governance Lifecycle-Workflows migriert werden. Viele dieser realen Szenarien können jetzt direkt aus der Cloud erstellt und verwaltet werden. Weitere Informationen findest du in der folgenden Dokumentation.

• Was sind Lebenszyklus-Workflows?
• Automatisieren des Onboardings von Mitarbeitern
• Automatisieren des Offboardings von Mitarbeitern

Bereitstellen von Benutzern aus lokalen HR-Systemen auf Microsoft Entra-ID mit Verknüpfungs-/Verlassen-Workflows

Kunden, die SAP Human Capital Management (HCM) verwenden und SAP SuccessFactors besitzen, können Identitäten in Microsoft Entra ID mithilfe der SAP Integration Suite einbringen, um Listen von Mitarbeitenden zwischen SAP HCM und SAP SuccessFactors zu synchronisieren. Von dort aus können Sie Identitäten direkt in die Microsoft Entra ID einbringen oder sie in Active Directory Domain Services bereitstellen.

Mithilfe der API-gesteuerten eingehenden Bereitstellung ist es jetzt möglich, Benutzer direkt über Ihr lokales HR-System an Microsoft Entra-ID bereitzustellen. Wenn Sie derzeit ein MIM verwenden, um Benutzer aus einem HR-System zu importieren und diese dann an Microsoft Entra-ID bereitzustellen, können Sie jetzt einen benutzerdefinierten API-gesteuerten eingehenden Bereitstellungsconnector verwenden, um dies zu erreichen. Der Vorteil der Verwendung des API-gesteuerten Bereitstellungsconnectors, um dies über MIM zu erreichen, besteht darin, dass der API-gesteuerte Bereitstellungsconnector viel weniger Aufwand und viel geringerer Speicherbedarf lokal im Vergleich zu MIM hat. Außerdem kann er mit dem API-gesteuerten Bereitstellungsconnector aus der Cloud verwaltet werden. Weitere Informationen zur API-gesteuerten Bereitstellung finden Sie im Folgenden.

• API-gesteuerte Konzepte für die eingehende Bereitstellung
• Ermöglichen von Systemintegratoren, mehr Verbinder für Datensatzsysteme zu erstellen
• Konfigurieren der API-gesteuerten eingehenden Bereitstellungs-App

Diese können auch Lebenszyklusworkflows nutzen.

• Was sind Lebenszyklus-Workflows?
• Automatisieren des Onboardings von Mitarbeitern
• Automatisieren des Offboardings von Mitarbeitern

Bereitstellen von Benutzern aus der Microsoft Entra-ID für lokale Apps

Wenn Sie MIM verwenden, um Benutzer für Anwendungen wie SAP ECC, Anwendungen mit einer SOAP- oder REST-API oder Anwendungen mit einer zugrunde liegenden SQL-Datenbank oder einem NICHT-AD LDAP-Verzeichnis bereitzustellen, können Sie jetzt die lokale Anwendungsbereitstellung über den ECMA Connector Host verwenden, um dieselben Aufgaben auszuführen. Der ECMA Connector Host ist Teil eines leichten Agenten und ermöglicht es Ihnen, Ihren MIM-Speicherbedarf zu reduzieren. Wenn Sie über benutzerdefinierte Connectors in Ihrer MIM-Umgebung verfügen, können Sie deren Konfiguration zum Agent migrieren. Weitere Informationen finden Sie in der folgenden Dokumentation.

• Architektur der lokalen Bereitstellungsanwendung
• Bereitstellen von Benutzern für SCIM-fähige Apps
• Bereitstellen von Benutzern in SQL-basierten Anwendungen
• Bereitstellen von Benutzern in LDAP-Verzeichnissen
• Bereitstellen von Benutzern in einem LDAP-Verzeichnis für die Linux-Authentifizierung
• Bereitstellen von Benutzern in Anwendungen mit PowerShell
• Bereitstellen mit dem Webdienstconnector
• Bereitstellen mit den benutzerdefinierten Connectors

Bereitstellen von Benutzern für Cloud-SaaS-Apps

Die Integration mit SaaS-Anwendungen ist in der Welt des Cloud Computing erforderlich. Viele der Bereitstellungsszenarien, die MIM für SaaS-Apps ausführte, können jetzt direkt über die Microsoft Entra-ID ausgeführt werden. Bei der Konfiguration stellt Die Microsoft Entra-ID Benutzer automatisch mithilfe des Microsoft Entra-Bereitstellungsdiensts an SaaS-Anwendungen bereit und entprovisioniert sie. Eine vollständige Liste der SaaS-App-Lernprogramme finden Sie unter dem folgenden Link.

• Lernprogramme für die Integration in SaaS-Apps

Bereitstellen von Benutzern und Gruppen für neue benutzerdefinierte Apps

Wenn Ihre Organisation neue Anwendungen erstellt und benutzer- oder gruppeninformationen oder Signale empfängt, wenn Benutzer aktualisiert oder gelöscht werden, empfehlen wir die Anwendung entweder Microsoft Graph, um die Microsoft Entra-ID abzufragen oder SCIM automatisch bereitzustellen.

• Über die Microsoft Graph-API
• Entwickeln und Planen der Bereitstellung für einen SCIM-Endpunkt in Microsoft Entra ID
• Bereitstellen von Benutzern für SCIM-fähige Anwendungen, die lokal sind

Gruppenverwaltungsszenarien

In der Vergangenheit verwendeten Organisationen MIM zum Verwalten von Gruppen in AD, einschließlich AD-Sicherheitsgruppen und Exchange-DLs, die dann über Microsoft Entra Connect mit Microsoft Entra ID und Exchange Online synchronisiert wurden. Organisationen können jetzt Sicherheitsgruppen in Microsoft Entra ID und Exchange Online verwalten, ohne dass Gruppen in lokales Active Directory erstellt werden müssen.

Dynamische Gruppen

Wenn Sie MIM für die dynamische Gruppenmitgliedschaft verwenden, können diese Gruppen migriert werden, um dynamische Microsoft Entra ID-Gruppen zu sein. Bei attributbasierten Regeln werden Benutzer basierend auf diesen Kriterien automatisch hinzugefügt oder entfernt. Weitere Informationen findest du in der folgenden Dokumentation.

• Erstellen oder Aktualisieren einer dynamischen Gruppe in Microsoft Entra ID

Bereitstellen von Gruppen für AD-basierte Anwendungen

Das Verwalten lokaler Anwendungen mit Active Directory-Gruppen, die in der Cloud bereitgestellt und verwaltet werden, kann jetzt mit der Microsoft Entra-Cloudsynchronisierung durchgeführt werden. Jetzt können Sie mit der Microsoft Entra-Cloudsynchronisierung Anwendungszuweisungen in AD vollständig steuern und gleichzeitig microsoft Entra ID Governance-Features nutzen, um alle zugriffsbezogenen Anforderungen zu steuern und zu beheben.

Weitere Informationen finden Sie unter "Steuern lokales Active Directory basierender Apps (Kerberos) mithilfe von Microsoft Entra ID Governance.For more information, see Govern lokales Active Directory based apps (Kerberos) using Microsoft Entra ID Governance.

Self-Service-Szenarien

MIM wurde auch in Self-Service-Szenarien verwendet, um Daten in Active Directory zu verwalten, für die Verwendung durch Exchange- und AD-integrierte Apps. Jetzt können viele dieser Szenarien aus der Cloud erreicht werden.

Self-Service-Gruppenverwaltung

Sie können Es Benutzern ermöglichen, Sicherheitsgruppen oder Microsoft 365-Gruppen/Teams zu erstellen und dann die Mitgliedschaft ihrer Gruppe zu verwalten.

• Self-Service-Gruppenverwaltungsszenarien

Zugriffsanforderungen mit mehrstufigen Genehmigungen

Die Berechtigungsverwaltung beinhaltet das Konzept von Zugriffspaketen. Ein Zugriffspaket ist ein Bündel aller Ressourcen mit dem Zugriff, den ein Benutzer an einem Projekt bearbeiten oder seine Aufgabe ausführen muss, einschließlich der Mitgliedschaft von Gruppen, SharePoint Online-Websites oder Zuweisung zu Anwendungsrollen. Jedes Zugriffspaket enthält Richtlinien, die angeben, wer automatisch Zugriff erhält und wer Zugriff anfordern kann.

• Was ist Berechtigungsverwaltung?

Self-Service-Kennwortzurücksetzung

Microsoft Entra Self-Service Password Reset (SSPR) bietet Benutzern die Möglichkeit, ihr Kennwort zu ändern oder zurückzusetzen. Wenn Sie über eine Hybridumgebung verfügen, können Sie Microsoft Entra Connect so konfigurieren, dass Kennwortänderungsereignisse von Der Microsoft Entra-ID in eine lokales Active Directory zurückgeschrieben werden.

• Self-Service-Kennwortzurücksetzung

Nächste Schritte

• Identitätsarchitekturhandbücher
• Ressourcen für die Verwaltung von Anwendungen auf die Microsoft Entra-ID
• Migrieren sie ADFS-Anwendungen.