Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des conseils sur la façon dont les organisations peuvent prendre des décisions applicables à de nombreuses sources de données connectées. Cela est possible via les opérations de recherche, de suppression, de mise à jour et de rapport. Avant de choisir une approche de suppression ou de mise à jour, il est impératif de comprendre la configuration et la conception actuelles de son système de gestion des identités (MIM).
Voici quelques scénarios à prendre en compte, en répondant aux questions suivantes :
- De quelles données avez-vous besoin pour que la gestion des identités contribue au processus d’entreprise ?
- Où les données actives seront-elles stockées dans MIM ?
- Comment allez-vous utiliser ces données dans le système ?
- Partagez-vous ces données avec des sources de données de partenaires externes (exportation) ?
- Quelle est la source d’autorité des données et de leur traitement ?
- Quel sera votre plan de suppression et de conservation des données ?
- Avez-vous identifié toutes les technologies dont vous avez besoin pour traiter et gérer les données ?
Pour bien comprendre votre environnement MIM actuel, vous pouvez utiliser l’outil suivant pour le documenter ou consulter vos documents de conception de l’implémentation.
Recherche et identification des données personnelles
La recherche de données dans MIM dépendra de l’installation et de la configuration. La plupart des environnements sont interconnectés, mais, dans un souci de clarté, nous les avons décomposés par composant de haut niveau.
Service de synchronisation
Toutes les données de MIM qui se rapportent aux utilisateurs sont dérivées d’Active Directory (AD) et des sources de données des ressources humaines. Quand vous recherchez des données personnelles, commencez par examiner AD ou les sources de données connectées.
Si vous ne savez pas sur quelle source d’autorité vous pouvez suivre cet utilisateur dans la console de MIM Synchronization Service Manager, cliquez sur la barre de recherche de métaverse pour afficher les données personnelles identifiables stockées dans la base de données. Les utilisateurs peuvent rechercher un utilisateur ou un attribut spécifique.
- Pour effectuer une révision ou une recherche de données d’objets utilisateur
- Ouvrez le client Synchronization Service.
- Le concepteur de métaverse permet de visualiser les importations de flux de valeur d'attribut et la précédence.
- L’utilisation de la recherche de métaverse vous permet d’effectuer une recherche sur n’importe quel objet et attribut dans la base
- Le concepteur de métaverse permet de visualiser les importations de flux de valeur d'attribut et la précédence.
- Ouvrez le client Synchronization Service.
Lorsque vous avez trouvé l’objet, cliquez dessus pour ouvrir la page du profil utilisateur. Les détails de l’objet donnent des informations complètes sur l’objet, ses attributs, sa date/heure de dernière modification et la source d’autorité, ainsi que la source de données connectée associée dérivée de l’exemple de configuration de l’agent de gestion ci-dessous.
Service et portail / PAM
Si une instance du service et du portail ou PAM est installée, il est important de pouvoir rechercher des utilisateurs.
Si vous avez installé le portail, vous pouvez utiliser l’interface utilisateur pour rechercher n’importe quel attribut ou effectuer une requête sur un utilisateur en particulier.
Si seul le serveur du service (sans l’interface utilisateur du portail) est installé, vous pouvez exécuter une recherche suivant la syntaxe [FIMAutomation PSSnapin]. Vous en trouverez un exemple ici.
PAM peut utiliser la syntaxe ci-dessus ; vous pouvez sinon utiliser le module MIMPAM, et en particulier l’applet de commande get-pamuser, pour rechercher l’utilisateur dans l’environnement PAM.
D’autres options de création de rapports permettant d’effectuer des recherches sur les données disponibles existent dans le service et sur le portail.
BHOLD
Le service BHOLD Core comporte une interface utilisateur qui permet de rechercher un utilisateur ou des attributs.
Si vous synchronisez BHOLD avec le connecteur de gestion des accès pour Synchronization Service, vous pourrez voir les objets utilisateur connecté et les attributs que vous envoyez à BHOLD Core.
Vous pourrez également charger le module BHOLD Reporting.
Gestion des certificats
La recherche du service Certificate Management est intégrée à l’interface utilisateur. L’administrateur la lance et sélectionne « Rechercher l’utilisateur et afficher ou gérer ses informations ».
Exportation des données personnelles
Dans la mesure où les données associées aux entités dans MIM sont dérivées de plusieurs sources, la plupart des données sont stockées dans la base de données Synchronization Service. C’est pourquoi il faut exporter les données relatives aux objets à partir de MIM Sync ; vous pouvez également déterminer le propriétaire de ces données.
Service de synchronisation
Les services de synchronisation pour l’exportation des données sélectionnent simplement les données à partir de l’interface utilisateur de recherche et les copient et collent au format CSV ou dans le format par défaut. Il existe un autre moyen d’exporter ces données, qui consiste à créer un agent de gestion basé sur des fichiers pour déposer les données actuelles nécessaires sur un utilisateur avec indicateur d’intérêt. Vous trouverez ici un exemple d’utilisation d’un agent de gestion basé sur des fichiers.
Service et portail / PAM
Avec le service et le portail, ainsi que PAM, vous pouvez exporter ces données et exécuter une recherche suivant la syntaxe [FIMAutomation PSSnapin] (vous en trouverez un exemple ici), puis les convertir au format CSV.
PAM peut utiliser la syntaxe ci-dessus ; vous pouvez sinon utiliser le module MIMPAM, et en particulier get-pamuser, pour rechercher l’utilisateur dans l’environnement PAM et le convertir au format CSV.
BHOLD
Vous pouvez exporter les données Bhold dans votre format préféré à l’aide du module Bhold Reporting.
Gestion des certificats
Les données Certificate Management associées aux données personnelles sont connectées à Active Directory. Un administrateur peut exporter ces données à l’aide d’Active Directory PowerShell.
Mise à jour des données personnelles
Les données personnelles sur les utilisateurs ou les objets dans les solutions MIM sont généralement dérivées de l’objet utilisateur dans les sources de données connectées de votre organisation. En effet, toutes les modifications apportées au profil utilisateur dans la source des ressources humaines ou un autre système d’enregistrement d’autorité, par exemple, AD, sont alors intégrées dans MIM Synchronization Service.
Service de synchronisation
Pour pouvoir effectuer des opérations de gestion, les administrateurs doivent être membres de l’administration ou des opérations de synchronisation définies ici.
La mise à jour des données s’effectue en définissant des règles à partir de la source d’autorité. La console de gestion aide à identifier la source d’autorité pour les mettre à jour à la source. Une autre option consiste à créer une règle de synchronisation ou une extension de règle pour contrôler la mise à jour des données si la source, comme les données des ressources humaines, doit rester. Ces options sont prises en charge.
Pour plus d’informations sur les différentes façons de mettre à jour un attribut, voir ci-dessous.
Service et portail / PAM
Pour inclure les données PAM, il est possible de mettre à jour le service et le portail à l’aide des applets de commande FIMAutomation ou PAM. Si vous disposez du portail, vous pouvez également le mettre à jour directement en recherchant et en modifiant l’objet. Il est à noter que, selon la configuration, la simple mise à jour sur le portail nesignifie pas qu’il restera. En effet, une source d’autorité dépend fortement de la configuration globale.
BHOLD
Il est possible de mettre à jour directement les utilisateurs avec l’interface utilisateur BHOLD Core ou le connecteur de gestion des accès.
Gestion des certificats
Les utilisateurs du service Certificate Management sont tous le reflet d’Active Directory. Pour la mise à jour, utilisez Active Directory pour modifier les détails de l’objet.
Suppression des données personnelles
Notes
Cet article décrit différents moyens de supprimer des données personnelles de Microsoft Identity Manager ; il peut vous aider à respecter vos obligations dans le cadre du RGPD. Si vous recherchez des informations générales sur le RGPD, consultez la section sur le RGPD du portail Service Trust.
Les données de MIM sont synchronisées et toujours mises à jour à partir de leur source de données connectée. Lorsqu’un objet est supprimé dans la cible, ses données dans MIM peuvent être conservées à des fins d’enquêtes de sécurité. La suppression de l’objet est configurée par des règles de source de données connectée ou des extensions de règle (code) ou par des règles de suppression d’objet.
Service de synchronisation
Synchronization Service offre de nombreuses façons de gérer ou de supprimer les données en fonction des processus d’entreprise. Voici quelques articles pour vous aider à comprendre les options de suppression et de mise à jour des attributs :
Service et portail / PAM
Il est recommandé, pour le service et le portail, de conserver la configuration de conservation des ressources système par défaut de 30 jours. Cela indique au service quand il va supprimer, non seulement demander des données, mais également tout objet qui doit être effacé du système. À l’issue de ce processus, toutes les données liées à cet objet sont supprimées, y compris toutes les données d’inscription SSPR. Cela joue un rôle dans la configuration de la suppression d’objet ci-dessus. Nous disposons d’une table dans laquelle nous stockons le GUID des objets. Pour réduire la taille globale de cette table, nous avons ajouté dans la build 4.4.1459 un processus appelé FIM_DeleteExpiredSystemObjectsJob. Vous trouverez ici plus d’informations sur ce processus.
BHOLD
Comme la plupart des systèmes connectés à Synchronization Service, il est possible de configurer la suppression de BHOLD une fois l’objet source, comme les relations humaines, supprimé. Cette configuration s’effectue sur l’agent de gestion. Elle est contrôlée par les règles de suppression d’objet, comme indiqué sous les fonctionnalités de Synchronization Service.
Une autre option consiste à supprimer directement l’objet utilisateur dans l’interface utilisateur BHOLD Core. Selon la configuration, cette solution pourrait fonctionnent correctement ; sachez toutefois que la logique d’approvisionnement pourrait recréer cet utilisateur s’il n’est pas supprimé à la source.
Gestion des certificats
Pour supprimer un utilisateur de CM, supprimez l’utilisateur dans Active Directory.
Certificate Management stockera uniquement l’UID de profil à partir des services de certificats avec le domaine sAMAccountName. Une fois l’utilisateur supprimé d’AD, le cache utilisateur est présent uniquement pour les certificats qu’il a inscrits. Il est déconseillé de supprimer des données dans la base de données, car cela pourrait provoquer des dommages généraux au fonctionnement de l’environnement.
Désactivation de la télémétrie
Les versions précédentes de FIM/MIM collectaient des données de télémétrie anonymisées sur chaque déploiement et les transmettaient via une connexion HTTPS aux serveurs Microsoft. Ces données étaient auparavant utilisées par Microsoft pour améliorer les versions suivantes de FIM/MIM.
Notes
Dans les versions ultérieures, à partir de 4.5.x.x, la collecte de données sera désactivée.
Pour désactiver la collecte de données dans une version antérieure, exécutez le mode de modification et désélectionnez l’invite suivante :
Ou modifiez le Registre et définissez la valeur sur 0 : (Component)CEIP HKLM\SOFTWARE\Microsoft\Forefront Identity Manager\2010.
