Migration de scénarios de gestion des identités et des accès vers Microsoft Entra à partir de Microsoft Identity Manager

Microsoft Identity Manager est le produit de gestion des identités et des accès hébergés localement par Microsoft. Il est basé sur la technologie introduite en 2003, constamment améliorée jusqu’à aujourd’hui, et prise en charge avec Microsoft Entra services cloud. MIM a été au cœur de nombreuses stratégies de gestion des identités et des accès, en augmentant les services hébergés dans le cloud de Microsoft Entra ID et d’autres agents locaux.

De nombreux clients ont exprimé leur intérêt à déplacer entièrement vers le cloud le centre de leurs scénarios de gestion des identités et des accès. Certains clients n’auront plus d’environnement local, tandis que d’autres intégreront la gestion des identités et des accès hébergés dans le cloud à leurs applications, répertoires et bases de données locaux restants. Ce document fournit des conseils sur les options de migration et les approches pour déplacer des scénarios de gestion des identités et des accès (IAM) de Microsoft Identity Manager vers Microsoft Entra services hébergés dans le cloud, et sera mis à jour à mesure que de nouveaux scénarios seront disponibles pour la migration. Des conseils similaires sont disponibles pour la migration d’autres technologies de gestion des identités locales, y compris la migration à partir d’ADFS.

Vue d’ensemble de la migration

MIM a implémenté les meilleures pratiques de gestion des identités et des accès au moment de sa conception. Depuis lors, le paysage de la gestion des identités et des accès a évolué avec de nouvelles applications et de nouvelles priorités métier. Par conséquent, les approches recommandées pour traiter les cas d’usage IAM seront dans de nombreux cas différentes aujourd’hui de celles précédemment recommandées avec MIM.

En outre, les organisations doivent planifier une approche par étapes pour la migration de scénarios. Par exemple, une organization peut hiérarchiser la migration d’un scénario de réinitialisation de mot de passe libre-service de l’utilisateur final en une étape, puis, une fois cette opération terminée, déplacer un scénario d’approvisionnement. L’ordre dans lequel un organization choisit de déplacer ses scénarios dépend de ses priorités informatiques globales et de l’impact sur les autres parties prenantes, telles que les utilisateurs finaux qui ont besoin d’une mise à jour de formation ou les propriétaires d’applications.

Scénario IAM dans MIM	Lien pour plus d’informations sur le scénario IAM dans Microsoft Entra
Approvisionnement à partir de sources SAP HR	intégrer les identités de SAP HR dans Microsoft Entra ID
Approvisionnement à partir de Workday et d’autres sources rh cloud	provisionnement à partir de systèmes RH cloud en Microsoft Entra ID avec des workflows de cycle de vie de joint/quitter
Approvisionnement à partir d’autres sources RH locales	approvisionnement à partir de systèmes RH locaux avec des workflows de cycle de vie de jointure/sortie
Approvisionnement d’applications locales non basées sur AD	provisionnement d’utilisateurs de Microsoft Entra ID vers des applications locales
Gestion des listes d’adresses globales pour les organisations distribuées	synchronisation des utilisateurs d’un locataire Microsoft Entra ID à un autre
Groupes de sécurité AD	régir les applications basées sur Active Directory local (Kerberos) à l’aide de Gouvernance Microsoft Entra ID (préversion)
Groupes dynamiques	groupe de sécurité basé sur des règles Microsoft Entra ID et appartenances à un groupe Microsoft 365
Gestion des groupes en libre service	groupe de sécurité Microsoft Entra ID libre-service, groupes Microsoft 365 et gestion de la création et de l’appartenance à Teams
Gestion des mots de passe en libre-service	Réinitialisation de mot de passe en libre-service avec réécriture dans AD
Gestion renforcée des informations d’identification	Authentification sans mot de passe pour Microsoft Entra ID
Audit historique et création de rapports	archiver les journaux d’activité pour la création de rapports sur les activités de Microsoft Entra ID et de Gouvernance Microsoft Entra ID avec Azure Monitor
Gestion des accès privilégiés	sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID
Gestion de l’accès en fonction du rôle professionnel	régir l’accès en migrant un modèle de rôle organisationnel vers Gouvernance Microsoft Entra ID
Attestation	révisions d’accès pour les appartenances aux groupes, les attributions d’applications, les packages d’accès et les rôles

Approvisionnement d'utilisateurs

L’approvisionnement d’utilisateurs est au cœur même de ce que fait MIM. Qu’il s’agisse d’AD ou d’autres sources RH, l’importation d’utilisateurs, leur agrégation dans le métaverse et leur approvisionnement dans différents référentiels est l’une de ses fonctions principales. Le diagramme ci-dessous illustre un scénario d’approvisionnement/synchronisation classique.

À présent, la plupart de ces scénarios d’approvisionnement d’utilisateurs sont disponibles à l’aide de Microsoft Entra ID et d’offres associées, qui vous permettent de migrer ces scénarios hors de MIM pour gérer les comptes dans ces applications à partir du cloud.

Les sections suivantes décrivent les différents scénarios d’approvisionnement.

Approvisionnement à partir de systèmes RH cloud vers Active Directory ou Microsoft Entra ID avec des flux de travail de jointure/sortie

Que vous souhaitiez approvisionner directement à partir du cloud dans Active Directory ou Microsoft Entra ID, cela peut être effectué à l’aide d’intégrations intégrées à Microsoft Entra ID. Les tutoriels suivants fournissent des conseils sur l’approvisionnement directement à partir de votre source RH dans AD ou Microsoft Entra ID.

• Tutoriel : Configurer Workday pour le provisionnement automatique d’utilisateurs
• Tutoriel: configurer l’approvisionnement des utilisateurs de Workday vers Microsoft Entra

La plupart des scénarios RH cloud impliquent également l’utilisation de workflows automatisés. Certaines de ces activités de flux de travail qui ont été développées à l’aide de la bibliothèque d’activités de flux de travail pour MIM peuvent être migrées vers des workflows de cycle de vie de gouvernance des ID Microsoft. La plupart de ces scénarios réels peuvent maintenant être créés et gérés directement à partir du cloud. Pour plus d’informations, consultez la documentation suivante.

• Que sont les workflows de cycle de vie ?
• Automatiser l’intégration des employés
• Automatiser la dés-intégration des employés

Approvisionnement des utilisateurs à partir de systèmes RH locaux pour Microsoft Entra ID avec des flux de travail de jointure/sortie

À l’aide de l’approvisionnement entrant piloté par l’API, il est désormais possible de provisionner des utilisateurs directement sur Microsoft Entra ID à partir de votre système RH local. Si vous utilisez actuellement un MIM pour importer des utilisateurs à partir d’un système RH, puis les approvisionner dans Microsoft Entra ID, vous pouvez maintenant utiliser un connecteur d’approvisionnement entrant personnalisé piloté par l’API pour ce faire. L’avantage de l’utilisation du connecteur d’approvisionnement piloté par l’API pour y parvenir par rapport à MIM est que le connecteur d’approvisionnement piloté par l’API a beaucoup moins de surcharge et un encombrement beaucoup plus faible en local, par rapport à MIM. En outre, avec le connecteur d’approvisionnement piloté par l’API, il peut être géré à partir du cloud. Pour plus d’informations sur l’approvisionnement piloté par LES API, consultez ce qui suit.

• Concepts d’approvisionnement entrant pilotés par les API
• Permettre aux intégrateurs de systèmes de créer plus de connecteurs avec les systèmes d’enregistrement
• Configurer l’application d’approvisionnement entrant pilotée par l’API

Ceux-ci peuvent également tirer parti des workflows de cycle de vie.

• Que sont les workflows de cycle de vie ?
• Automatiser l’intégration des employés
• Automatiser la dés-intégration des employés

Approvisionnement des utilisateurs de Microsoft Entra ID vers des applications locales

Si vous utilisez MIM pour approvisionner des utilisateurs sur des applications telles que SQL ou LDAP, vous pouvez maintenant utiliser l’approvisionnement d’applications locales via l’hôte du connecteur ECMA pour accomplir les mêmes tâches. L’hôte du connecteur ECMA fait partie d’un agent léger et vous permet de réduire votre empreinte MIM. Pour plus d’informations, consultez la documentation ci-dessous.

• Architecture d’application d’approvisionnement local
• Approvisionnement des utilisateurs dans des applications compatibles avec SCIM
• Approvisionnement d’utilisateurs en applications SQL
• Approvisionnement des utilisateurs dans des répertoires LDAP
• Provisionnement d’utilisateurs dans un annuaire LDAP pour l’authentification Linux
• Approvisionnement d’utilisateurs dans des applications à l’aide de PowerShell
• Approvisionnement avec le connecteur de services web
• Provisionnement avec des connecteurs personnalisés

Approvisionner des utilisateurs dans des applications SaaS cloud

L’intégration à des applications SaaS est nécessaire dans le monde du cloud computing. La plupart des scénarios d’approvisionnement que MIM effectuait pour les applications SaaS peuvent désormais être effectués directement à partir de Microsoft Entra ID. Une fois configuré, Microsoft Entra ID approvisionne et déprovisionne automatiquement les utilisateurs vers les applications SaaS à l’aide du service d’approvisionnement Microsoft Entra. Pour obtenir la liste complète des tutoriels d’application SaaS, consultez le lien ci-dessous.

• Tutoriels pour l’intégration à des applications SaaS

Approvisionner des utilisateurs et des groupes sur de nouvelles applications personnalisées

Si votre organization crée de nouvelles applications et nécessite la réception d’informations ou de signaux d’utilisateur ou de groupe lorsque les utilisateurs sont mis à jour ou supprimés, nous vous recommandons d’utiliser Microsoft Graph pour interroger Microsoft Entra ID ou d’utiliser SCIM pour être automatiquement approvisionnée.

• À l’aide de l’API Microsoft Graph
• Développer et planifier l’approvisionnement d’un point de terminaison SCIM dans Microsoft Entra ID
• Provisionnement d’utilisateurs sur des applications compatibles SCIM locales

Scénarios de gestion de groupe

Historiquement, les organisations utilisaient MIM pour gérer les groupes dans AD, y compris les groupes de sécurité AD et les DLL Exchange, qui étaient ensuite synchronisés via Microsoft Entra Connect à Microsoft Entra ID et Exchange Online. Les organisations peuvent désormais gérer des groupes de sécurité dans Microsoft Entra ID et Exchange Online, sans nécessiter la création de groupes dans Active Directory local.

Groupes dynamiques

Si vous utilisez MIM pour l’appartenance à un groupe dynamique, ces groupes peuvent être migrés pour être Microsoft Entra ID groupes dynamiques. Avec les règles basées sur les attributs, les utilisateurs sont automatiquement ajoutés ou supprimés en fonction de ce critère. Pour plus d’informations, consultez la documentation suivante.

• Créer ou mettre à jour un groupe dynamique dans Microsoft Entra ID

Mise à la disposition des groupes pour les applications basées sur AD

La gestion des applications locales avec des groupes Active Directory provisionnés et gérés dans le cloud utilisé peut désormais être effectuée avec Microsoft Entra synchronisation cloud. Désormais, Microsoft Entra synchronisation cloud vous permet de régir entièrement les affectations d’applications dans AD tout en tirant parti des fonctionnalités Gouvernance Microsoft Entra ID pour contrôler et corriger les demandes d’accès.

Pour plus d’informations, consultez Régir les applications basées sur Active Directory local (Kerberos) à l’aide de Gouvernance Microsoft Entra ID (préversion) .

Scénarios en libre-service

MIM a également été utilisé dans des scénarios en libre-service pour gérer les données dans Active Directory, pour une utilisation par Exchange et les applications intégrées à AD. À présent, la plupart de ces mêmes scénarios peuvent être réalisés à partir du cloud.

Gestion des groupes en libre service

Vous pouvez autoriser les utilisateurs à créer des groupes de sécurité ou des groupes Microsoft 365/Teams, puis à gérer l’appartenance de leur groupe.

• Scénarios de gestion de groupes en libre-service

Demandes d’accès avec approbations en plusieurs étapes

La gestion des droits d'utilisation introduit le concept de package d'accès. Un package d’accès est un ensemble de toutes les ressources avec l’accès dont un utilisateur a besoin pour travailler sur un projet ou effectuer sa tâche, y compris l’appartenance à des groupes, des sites SharePoint Online ou l’attribution à des rôles d’application. Chaque package d’accès inclut des stratégies qui spécifient qui obtient automatiquement l’accès et qui peut demander l’accès.

• Présentation de la gestion des droits d’utilisation

Réinitialisation de mot de passe libre-service

Microsoft Entra réinitialisation de mot de passe en libre-service (SSPR) permet aux utilisateurs de modifier ou de réinitialiser leur mot de passe. Si vous disposez d’un environnement hybride, vous pouvez configurer Microsoft Entra Connect pour écrire des événements de modification de mot de passe de Microsoft Entra ID à un Active Directory local.

• Réinitialisation de mot de passe en libre service

Étapes suivantes

• Guides d’architecture d’identité
• Ressources pour la gestion des applications à Microsoft Entra ID
• Migrer des applications ADFS.