Migrar escenarios de administración de identidades y acceso a Microsoft Entra desde Microsoft Identity Manager

Microsoft Identity Manager es el producto de administración de identidades y acceso hospedado en el entorno local de Microsoft. Se basa en la tecnología introducida en 2003, mejorada continuamente a través de hoy y compatible con los servicios en la nube de Microsoft Entra. MIM ha sido una parte fundamental de muchas estrategias de administración de identidades y acceso, lo que aumenta los servicios hospedados en la nube de Microsoft Entra ID y otros agentes locales.

Muchos clientes han expresado interés en trasladar el centro de sus escenarios de administración de identidades y acceso completamente a la nube. Algunos clientes ya no tendrán un entorno local, mientras que otros integran la administración de identidades y acceso hospedados en la nube con sus aplicaciones, directorios y bases de datos locales restantes. En este documento se proporcionan instrucciones sobre las opciones y enfoques de migración para mover escenarios de administración de identidades y acceso (IAM) de Microsoft Identity Manager a servicios hospedados en la nube de Microsoft Entra y se actualizarán a medida que los nuevos escenarios estén disponibles para la migración. Hay instrucciones similares disponibles para la migración de otras tecnologías de administración de identidades locales, incluida la migración desde ADFS.

Información general sobre la migración

MIM implementó los procedimientos recomendados de administración de identidades y acceso en el momento de su diseño. Desde entonces, el panorama de administración de identidades y acceso ha evolucionado con nuevas aplicaciones y nuevas prioridades empresariales, por lo que los enfoques recomendados para abordar los casos de uso de IAM serán en muchos casos diferentes a los recomendados anteriormente con MIM.

Además, las organizaciones deben planear un enfoque preconfigurado para la migración de escenarios. Por ejemplo, una organización puede priorizar la migración de un escenario de autoservicio de usuario final como un paso y, una vez completado, mover un escenario de aprovisionamiento. El orden en que una organización decide mover sus escenarios dependerá de sus prioridades generales de TI y del impacto en otras partes interesadas, como los usuarios finales que necesiten una actualización de aprendizaje o los propietarios de aplicaciones.

Escenario de IAM en MIM	Vínculo para obtener más información sobre el escenario de IAM en Microsoft Entra
Aprovisionamiento desde orígenes de RR. HH. de SAP	incorporación de identidades de RR. HH. de SAP a microsoft Entra ID
Aprovisionamiento desde Workday y otros orígenes de RR. HH. en la nube	aprovisionamiento desde sistemas de RR. HH. en la nube a Microsoft Entra ID con flujos de trabajo de ciclo de vida de unión o salida
Aprovisionamiento desde otros orígenes de RR. HH. locales	aprovisionamiento desde sistemas de RR. HH. locales con flujos de trabajo de ciclo de vida de unión o salida
Aprovisionamiento en aplicaciones locales no basadas en AD	aprovisionamiento de usuarios de Microsoft Entra ID a aplicaciones locales
Administración global de la lista de direcciones (GAL) para organizaciones distribuidas	sincronización de usuarios de un inquilino de Id. de Microsoft Entra a otro
Grupos de seguridad de AD	controlar aplicaciones basadas en Active Directory local (Kerberos) mediante Gobierno de id. de Microsoft Entra
Grupos dinámicos	pertenencias a grupos basados en reglas de Microsoft Entra ID y pertenencias a grupos de Microsoft 365
Administración de grupos de autoservicio	autoservicio grupo de seguridad de Id. de Entra de Microsoft, grupos de Microsoft 365 y administración de pertenencia y creación de Teams
Administración de contraseñas de autorservicio	autoservicio de restablecimiento de contraseña con escritura diferida en AD
Administración segura de credenciales	autenticación sin contraseña para el identificador de Microsoft Entra
Auditoría e informes históricos	archivar registros para informar sobre el identificador de Entra de Microsoft y las actividades de Gobierno de id. de Microsoft Entra con Azure Monitor
Privileged Access Management	protección del acceso con privilegios para implementaciones híbridas y en la nube en el identificador de Microsoft Entra
Administración de acceso basado en rol empresarial	controlar el acceso mediante la migración de un modelo de rol organizativo a Gobierno de id. de Microsoft Entra
Atestación	Revisiones de acceso para pertenencias a grupos, asignaciones de aplicaciones, paquetes de acceso y roles

Aprovisionamiento de usuarios

El aprovisionamiento de usuarios está en el corazón de lo que hace MIM. Tanto si es AD como otros orígenes de RR. HH., importando usuarios, agregándolos en el metaverso y, a continuación, aprovisionándolos en repositorios diferentes es una de sus funciones principales. En el diagrama siguiente se muestra un escenario de aprovisionamiento o sincronización clásico.

Ahora muchos de estos escenarios de aprovisionamiento de usuarios están disponibles mediante el identificador de Entra de Microsoft y las ofertas relacionadas, que permiten migrar esos escenarios fuera de MIM para administrar cuentas en esas aplicaciones desde la nube.

En las secciones siguientes se describen los distintos escenarios de aprovisionamiento.

Aprovisionamiento desde sistemas de RR. HH. en la nube a Active Directory o Microsoft Entra ID con flujos de trabajo de combinación o salida

Tanto si quiere aprovisionar directamente desde la nube en Active Directory como en el id. de Microsoft Entra, esto se puede lograr mediante integraciones integradas a Microsoft Entra ID. En los tutoriales siguientes se proporcionan instrucciones sobre el aprovisionamiento directamente desde el origen de RR. HH. en AD o microsoft Entra ID.

• Tutorial: Configuración de Workday para el aprovisionamiento automático de usuarios
• Tutorial: Configuración del aprovisionamiento de usuarios de Workday en Microsoft Entra

Muchos de los escenarios de RR. HH. en la nube también implican el uso de flujos de trabajo automatizados. Algunas de estas actividades de flujo de trabajo que se desarrollaron mediante la biblioteca de actividades de flujo de trabajo para MIM se pueden migrar a los flujos de trabajo del ciclo de vida de gobernanza de identificadores de Microsoft. Muchos de estos escenarios reales ahora se pueden crear y administrar directamente desde la nube. Para más información, consulte la siguiente documentación.

• ¿Qué son los Flujos de trabajo de ciclo de vida?
• Automatización del incorporación de empleados
• Automatización del embarque de empleados

Aprovisionamiento de usuarios desde sistemas de RR. HH. locales a Microsoft Entra ID con flujos de trabajo de combinación o salida

Los clientes que usan SAP Human Capital Management (HCM) y tienen SAP SuccessFactors pueden incorporar identidades a Microsoft Entra ID mediante SAP Integration Suite para sincronizar listas de trabajos entre SAP HCM y SAP SuccessFactors. Desde allí, puede incorporar identidades directamente a Microsoft Entra ID o aprovisionarlas en Active Directory Domain Services.

Con el aprovisionamiento de entrada controlado por API, ahora es posible aprovisionar usuarios directamente a Microsoft Entra ID desde el sistema de RR. HH. local. Si actualmente usa un MIM para importar usuarios de un sistema de RR. HH. y aprovisionarlos a Microsoft Entra ID, ahora puede usar la compilación de un conector de aprovisionamiento de entrada basado en API personalizado para lograrlo. La ventaja de usar el conector de aprovisionamiento controlado por API para lograr esto a través de MIM es que el conector de aprovisionamiento controlado por API tiene mucha menos sobrecarga y una superficie mucho menor en el entorno local, en comparación con MIM. Además, con el conector de aprovisionamiento controlado por API, se puede administrar desde la nube. Consulte lo siguiente para obtener más información sobre el aprovisionamiento controlado por API.

• Conceptos de aprovisionamiento de entrada controlados por API
• Habilitación de los integradores de sistemas para crear más conectores en sistemas de registro
• Configuración de la aplicación de aprovisionamiento de entrada controlada por API

También pueden aprovechar los flujos de trabajo del ciclo de vida.

• ¿Qué son los Flujos de trabajo de ciclo de vida?
• Automatización del incorporación de empleados
• Automatización del embarque de empleados

Aprovisionamiento de usuarios de Microsoft Entra ID a aplicaciones locales

Si usa MIM para aprovisionar usuarios a aplicaciones como SAP ECC, a aplicaciones que tienen una API SOAP o REST, o a aplicaciones con una base de datos SQL subyacente o un directorio LDAP que no sea de AD, ahora puede usar el aprovisionamiento de aplicaciones locales a través del host del conector ECMA para realizar las mismas tareas. El host del conector ECMA forma parte de un agente ligero y le permite reducir la superficie de MIM. Si tiene conectores personalizados en el entorno de MIM, puede migrar su configuración al agente. Para obtener más información, consulte la documentación siguiente.

• Arquitectura de la aplicación de aprovisionamiento local
• Aprovisionamiento de usuarios a aplicaciones habilitadas para SCIM
• Aprovisionamiento de usuarios en aplicaciones basadas en SQL
• Aprovisionamiento de usuarios en directorios LDAP
• Aprovisionamiento de usuarios en un directorio LDAP para la autenticación de Linux
• Aprovisionamiento de usuarios en aplicaciones mediante PowerShell
• Aprovisionamiento con el conector de servicios web
• Aprovisionamiento con los conectores personalizados

Aprovisionamiento de usuarios en aplicaciones SaaS en la nube

La integración con aplicaciones SaaS es necesaria en el mundo de la informática en la nube. Muchos de los escenarios de aprovisionamiento que MIM estaba realizando en aplicaciones SaaS ahora se pueden realizar directamente desde el identificador de Entra de Microsoft. Cuando se configura, Microsoft Entra ID aprovisiona y desaprovisiona automáticamente usuarios en aplicaciones SaaS mediante el servicio de aprovisionamiento de Microsoft Entra. Para obtener una lista completa de los tutoriales de aplicaciones SaaS, consulte el vínculo siguiente.

• Tutoriales para la integración con aplicaciones SaaS

Aprovisionar usuarios y grupos en nuevas aplicaciones personalizadas

Si su organización está creando nuevas aplicaciones y requiere recibir información de usuario o grupo o señales cuando los usuarios se actualizan o eliminan, se recomienda que la aplicación use Microsoft Graph para consultar el identificador de Entra de Microsoft o use SCIM para que se aprovisione automáticamente.

• Uso de Microsoft Graph API
• Desarrollo y planeamiento del aprovisionamiento de un punto de conexión SCIM en microsoft Entra ID
• Aprovisionamiento de usuarios a aplicaciones habilitadas para SCIM que son locales

Escenarios de administración de grupos

Históricamente, las organizaciones usaron MIM para administrar grupos en AD, incluidos los grupos de seguridad de AD y las DLs de Exchange, que luego se sincronizaron a través de Microsoft Entra Connect con el identificador de Microsoft Entra y Exchange Online. Las organizaciones ahora pueden administrar grupos de seguridad en el identificador de Microsoft Entra y Exchange Online, sin necesidad de crear grupos en Active Directory local.

Grupos dinámicos

Si usa MIM para la pertenencia dinámica a grupos, estos grupos se pueden migrar para que sean grupos dinámicos de Id. de Microsoft Entra. Con las reglas basadas en atributos, los usuarios se agregan o quitan automáticamente en función de estos criterios. Para más información, consulte la siguiente documentación.

• Creación o actualización de un grupo dinámico en Microsoft Entra ID

Poner grupos a disposición de las aplicaciones basadas en AD

La administración de aplicaciones locales con grupos de Active Directory que se aprovisionan y administran en la nube ahora se pueden realizar con la sincronización en la nube de Microsoft Entra. Ahora, la sincronización en la nube de Microsoft Entra le permite controlar completamente las asignaciones de aplicaciones en AD mientras aprovecha las características de Gobierno de id. de Microsoft Entra para controlar y corregir las solicitudes relacionadas con el acceso.

Para obtener más información, consulte Gobernanza de aplicaciones basadas en Active Directory local (Kerberos) mediante Gobierno de id. de Microsoft Entra.

Escenarios de autoservicio

MIM también se ha usado en escenarios de autoservicio para administrar datos en Active Directory, para usarlos en aplicaciones integradas en Exchange y AD. Ahora se pueden realizar muchos de estos mismos escenarios desde la nube.

Administración de grupos de autoservicio

Puede permitir que los usuarios creen grupos de seguridad o grupos de Microsoft 365/Teams y, a continuación, administrar la pertenencia de su grupo.

• Escenarios de administración de grupos de autoservicio

Solicitudes de acceso con aprobaciones de varias fases

La administración de derechos introduce el concepto de un paquete de acceso. Un paquete de acceso es una agrupación de todos los recursos con el acceso que un usuario necesita para trabajar en un proyecto o realizar su tarea, incluida la pertenencia a grupos, sitios de SharePoint Online o asignación a roles de aplicación. Cada paquete de acceso incluye directivas que especifican quién obtiene acceso automáticamente y quién puede solicitar acceso.

• ¿Qué es la administración de derechos?

Autoservicio de restablecimiento de contraseña

El autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra ofrece a los usuarios la posibilidad de cambiar o restablecer su contraseña. Si tiene un entorno híbrido, puede configurar Microsoft Entra Connect para volver a escribir eventos de cambio de contraseña de Microsoft Entra ID en un Active Directory local.

• Autoservicio de restablecimiento de contraseña

Pasos siguientes

• Guías de arquitectura de identidad
• Recursos para administrar aplicaciones a Microsoft Entra ID
• Migrar aplicaciones de ADFS.