Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel bietet eine Anleitung, wie Organisationen Entscheidungen treffen können, die auf viele vernetzte Datenquellen angewendet werden können. Dies kann durch Such-, Lösch-, Aktualisierungs- und Berichtsvorgänge erreicht werden. Bevor Sie sich für einen Ansatz für das Löschen oder Aktualisieren entscheiden, ist es wichtig, das aktuelle Design und die Konfiguration Ihres Systems für die Identitätsverwaltung (MIM) zu kennen.
Im Folgenden finden Sie einige Szenarios, und Kunden sollten folgende Fragen berücksichtigen und beantworten:
- Welche Daten sind erforderlich, damit Ihre Identitätsverwaltung Sie bei Geschäftsprozessen unterstützt?
- Wo werden die aktuellen Daten in MIM gespeichert?
- Wie können Sie diese Daten im System verwenden?
- Geben Sie diese Daten für externe Datenquellen von Partnern frei (z.B. durch Exportieren)?
- Was ist die autorisierende Quelle für die Daten, und wie werden diese verarbeitet?
- Wie sieht Ihr Plan zur Datenaufbewahrung und Datenlöschung aus?
- Wissen Sie, welche Technologien Sie benötigen, um Daten zu verarbeiten und zu verwalten?
Wenn Sie eine aktuelle MIM-Umgebung verstehen möchten, können Sie folgendes Tool verwenden, um Ihre MIM-Umgebung zu dokumentieren oder dies aus Ihren Entwurfsdokumenten für die Implementierung abzuleiten.
Suchen und Ermitteln von personenbezogenen Daten
Das Suchen von Daten innerhalb von MIM hängt von der Konfiguration und dem Setup ab. Die meisten Umgebungen sind miteinander verbunden, aus Gründen der Übersichtlichkeit wurden diese jedoch von einer Komponente auf hoher Ebene separiert.
Synchronisierungsdienst
Alle benutzerbezogenen Daten in MIM werden von Active Directory- und HR-Datenquellen abgeleitet. Bei der Suche nach personenbezogenen Daten sollten Sie zuerst in Azure AD oder in verknüpften Datenquellen nachsehen.
Wenn Sie nicht sicher sind, welche Autoritätsquelle vorliegt, können Sie diesen Benutzer über die Synchronization Service Manager-Konsole von MIM nachverfolgen. Klicken Sie auf die Metaverse-Suchleiste, um die identifizierbaren personenbezogenen Daten anzuzeigen, die in der Datenbank gespeichert sind. Benutzer können nach einem bestimmten Benutzer oder einem bestimmten Attribut suchen.
- Durchführen einer Überprüfung von oder einer Suche nach Benutzerobjektdaten
- Öffnen Sie den Client des Synchronisierungsdiensts.
- Wenn Sie den Metaverse-Designer verwenden, können Sie die Importe und die Rangfolge des Attributflows sehen.
- Mithilfe der Metaversesuche können Sie nach jedem Objekt und Attribut innerhalb der Datenbank suchen
- Wenn Sie den Metaverse-Designer verwenden, können Sie die Importe und die Rangfolge des Attributflows sehen.
- Öffnen Sie den Client des Synchronisierungsdiensts.
Wenn Sie ein Objekt gesucht haben, können Sie auf dieses klicken, um die Seite „Benutzerprofil“ zu öffnen. In den Objektdetails finden Sie umfassende Informationen zum Objekt, seinen Attributen, zur letzten Änderung, der Autoritätsquelle und zu zugehörigen verknüpften Datenquellen, die vom untenstehenden Beispiel für die Konfiguration des Verwaltungs-Agents abgeleitet wurden.
Dienst und Portal/PAM
Wenn Sie eine Instanz des Diensts und Portals oder von PAM installiert haben, ist es wichtig, nach Benutzern suchen zu können.
Wenn Sie das Portal installiert haben, können Sie die Benutzeroberfläche verwenden, um jedes Attribut und jede Abfrage nach einem bestimmten Benutzer zu durchsuchen.
Wenn Sie nur den Dienstserver (ohne die Benutzeroberfläche des Portals) installiert haben, können Sie eine Suchsyntax ausführen, die auf [FIMAutomation PSSnapin] basiert. Ein Beispiel finden Sie hier.
PAM kann die gleiche Suchsyntax wie oben verwenden, oder Sie können das MIMPAM-Modul verwenden, insbesondere das Cmdlet „get-pamuser“, um innerhalb der PAM-Umgebung nach dem Benutzer zu suchen.
Weitere Berichterstellungsoptionen für die Suche in verfügbaren Daten befinden sich im Dienst und im Portal.
BHOLD
Der BHOLD Core-Dienst verfügt über eine Benutzeroberfläche, die die Suche nach Benutzern oder Attributen ermöglicht.
Wenn Sie BHOLD mit dem Zugriffsverwaltungsconnector für den Synchronisierungsdienst synchronisieren, können Sie die verknüpften Benutzerobjekte und die Attribute, die Sie an BHOLD-Core senden, anzeigen.
Sie können ebenfalls das BHOLD-Berichterstellungsmodul laden.
Zertifikatverwaltung
Die Dienstsuche der Zertifikatverwaltung ist in die Benutzeroberfläche integriert. Der Administrator startet diese und wählt „Find user and view or manage their information“ (Benutzer oder Ansicht finden und Informationen verwalten) aus.
Exportieren von personenbezogenen Daten
Da die zu Entitäten gehörenden Daten in MIM von mehreren Quellen abgeleitet werden, werden die meisten Daten in der Datenbank des Synchronisierungsdiensts gespeichert. Deshalb sollten Sie objektbezogene Daten aus der MIM-Synchronisierung exportieren oder den Besitzer dieser Daten bestimmen.
Synchronisierungsdienst
Synchronisierungsdienste für das Exportieren von Daten wählen einfach die Daten aus der Benutzeroberfläche der Suche aus, kopieren diese und fügen sie in eine CSV-Datei oder in das bevorzugte Format ein. Eine weitere Möglichkeit zum Exportieren dieser Daten ist das Erstellen eines dateibasierten Verwaltungs-Agents, um aktuelle Daten eines bestimmten Benutzers zu löschen. Ein Beispiel für die Verwendung eines dateibasierten Verwaltungs-Agents finden Sie hier.
Dienst und Portal/PAM
Im Dienst und Portal können Sie zusammen mit PAM die Daten exportieren, eine Suchsyntax basierend auf [FIMAutomation PSSnapin] ausführen und diese über die Pipeline an die CSV-Datei übergeben. Ein Beispiel dafür finden Sie hier.
PAM kann die gleiche Suchsyntax wie oben verwenden, oder Sie können das MIMPAM-Modul verwenden, insbesondere das Cmdlet „get-pamuser“, um innerhalb der PAM-Umgebung nach dem Benutzer zu suchen und diesen über die Pipeline an eine CSV-Datei zu übergeben.
BHOLD
BHOLD-Daten können mithilfe des BHOLD-Berichterstellungsmoduls in das bevorzugte Format exportiert werden.
Zertifikatverwaltung
Die Daten der Zertifikatverwaltung, die mit den personenbezogenen Daten in Zusammenhang stehen, sind mit Active Directory verbunden. Ein Administrator kann diese Daten mithilfe von Active Directory PowerShell exportieren.
Aktualisieren von personenbezogenen Daten
Personenbezogene Daten zu Benutzern oder Objekten in MIM-Lösungen werden üblicherweise vom Benutzerobjekt in den verbundenen Datenquellen Ihrer Organisation abgeleitet. Dies liegt daran, dass alle Änderungen, die Sie in der HR-Quelle oder in einem anderen autorisierenden Datensatzsystem (z.B. AD) am Benutzerprofil vornehmen, anschließend im MIM-Synchronisierungsdienst angezeigt werden.
Synchronisierungsdienst
Administratoren müssen zu den hier definierten Synchronisierungsvorgängen oder -administratoren gehören, um Verwaltungsvorgänge durchzuführen.
Ein Update der Daten wird durchgeführt, indem Regeln von der Autoritätsquelle definiert werden. Die Verwaltungskonsole unterstützt Sie beim Identifizieren der Autoritätsquelle, um diese an der Quelle zu aktualisieren. Eine weitere Möglichkeit besteht im Erstellen einer Synchronisierungsregel oder einer Regelerweiterung, um das Update der Daten zu steuern, wenn eine Quelle wie eine HR-Datenquelle beibehalten werden soll. Dies sind die verfügbaren unterstützten Optionen.
Im Folgenden finden Sie weitere Informationen zu den verschiedenen Methoden, um Attribute zu aktualisieren.
- Using Rules Extensions (Verwenden von Regelerweiterungen)
- Grundlegendes zur Datensynchronisierung mit externen Systemen
Dienst und Portal/PAM
Der Dienst und das Portal zum Einfügen von PAM-Daten können mithilfe der FIMAutomation- oder PAM-Cmdlets aktualisiert werden. Wenn Sie über das Portal verfügen, können Sie ein direktes Update durchführen, indem Sie das Objekt suchen und bearbeiten. Beachten Sie, dass je nach Konfiguration ein einfaches Update über das Portal nicht bedeutet, dass diese Änderungen beibehalten werden. Dies liegt daran, dass die Autoritätsquelle stark von der Gesamtkonfiguration abhängig ist.
BHOLD
Benutzer können direkt über die BHOLD Core-Benutzeroberfläche oder über den Connector der Zugriffsverwaltung aktualisiert werden.
Zertifikatverwaltung
Die Benutzer im Zertifikatverwaltungsdienst werden aus Active Directory übernommen. Verwenden Sie Active Directory, um Objektdetails zu bearbeiten und zu aktualisieren.
Löschen von personenbezogenen Daten
Hinweis
Dieser Artikel enthält Anleitungen zum Löschen von personenbezogenen Daten aus Microsoft Identity Manager und kann verwendet werden, um Ihren Pflichten gemäß der DSGVO nachzukommen. Allgemeine Informationen zur DSGVO finden Sie im Abschnitt „DSGVO“ im Service Trust Portal.
Die Daten in MIM werden synchronisiert und stets über die verbundene Datenquelle aktualisiert. Wenn ein Objekt im Ziel gelöscht wird, können die Daten des Objekts in MIM für eine Sicherheitsüberprüfung beibehalten werden. Das Löschen von Objekten wird nach den Regeln oder Regelerweiterungen (z.B. durch Code) pro verbundener Datenquelle oder nach den Objektlöschregeln konfiguriert.
Synchronisierungsdienst
Im Synchronisierungsdienst stehen viele Möglichkeiten zur Verfügung, um Daten abhängig vom Geschäftsprozess zu verarbeiten oder zu löschen. In den folgenden Artikeln finden Sie weitere Informationen zu den Optionen für das Löschen und Aktualisieren von Attributen:
- Grundlegendes zur Aufhebung der Bereitstellung
- Using Rules Extensions (Verwenden von Regelerweiterungen)
- Bewährte Methoden für MIM
Dienst und Portal/PAM
Für den Dienst und das Portal wird empfohlen, dass Sie die Standardkonfiguration von 30 Tagen für die Aufbewahrung von Systemressourcen beibehalten. Dadurch wird dem Dienst mitgeteilt, wann er nicht nur Daten angibt, sondern auch jedes Objekt, das aus dem System gelöscht werden muss. Wenn der Prozess durchgeführt wird, werden alle mit diesem Objekt verknüpften Daten gelöscht. Dazu zählen alle SSPR-Registrierungsdaten. Dies wird in die obige Konfiguration für die Löschung von Objekten einbezogen. Die GUID der Objekte wird in einer Tabelle gespeichert. Für das Reduzieren der Gesamtgröße der Tabelle im Build 4.4.1459 wurde ein Prozess namens „FIM_DeleteExpiredSystemObjectsJob“ hinzugefügt. Weitere Informationen zu diesem Prozess finden Sie hier.
BHOLD
BHOLD kann wie die meisten mit dem Synchronisierungsdienst verbundenen Systeme dafür konfiguriert werden, eine Löschung durchzuführen, sobald ein Quellobjekt wie HR entfernt wurde. Dies wird im Verwaltungs-Agent konfiguriert und von den Objektlöschregeln wie in den Features des Synchronisierungsdiensts beschrieben gesteuert.
Eine weitere Möglichkeit ist das direkte Entfernen des Benutzerobjekts aus der BHOLD Core-Benutzeroberfläche. Dies funktioniert je nach Setup gut, beachten Sie jedoch, dass die Bereitstellungslogik diesen Benutzer erneut erstellen könnte, wenn er nicht aus der Quelle gelöscht wird.
Zertifikatverwaltung
Löschen Sie einen Benutzer aus Active Directory, um ihn aus der Zertifikatverwaltung zu entfernen.
Die Zertifikatverwaltung speicher nur die Benutzer-ID des Profils aus Zertifikatdiensten mit der Domäne „sAMAccountName“. Sobald der Benutzer aus Active Directory gelöscht ist, wird der Benutzercache nur für Zertifikate beibehalten, in denen dieser registriert ist. Es wird nicht empfohlen, Elemente aus der Datenbank zu löschen, da dies die Ausführung der Umgebung beeinträchtigen kann.
Deaktivieren der Telemetrie
In vorherigen Builds wurden von FIM/MIM anonymisierte Telemetriedaten zu jeder Bereitstellung gesammelt und über HTTPS an die Microsoft-Server übertragen. Diese Daten wurden von Microsoft früher zur Verbesserung von zukünftigen FIM- und MIM-Versionen verwendet.
Hinweis
In späteren Releases von 4.5.x.x oder höher ist die Datensammlung deaktiviert.
Wenn Sie die Datensammlung in vorherigen Versionen deaktivieren möchten, führen Sie „Modus ändern“ aus, und wählen Sie in folgender Aufforderung die entsprechende Option aus:
Alternativ können Sie die Registrierung bearbeiten und folgenden Wert auf 0 (null) festlegen: (Komponente)CEIP HKLM\SOFTWARE\Microsoft\Forefront Identity Manager\2010.
