Memigrasikan skenario Manajemen Identitas dan Akses ke Microsoft Entra dari Microsoft Identity Manager

Microsoft Identity Manager adalah produk manajemen identitas dan akses yang dihosting lokal Microsoft. Ini didasarkan pada teknologi yang diperkenalkan pada tahun 2003, terus ditingkatkan hingga saat ini, dan didukung bersama dengan layanan cloud Microsoft Entra. MIM telah menjadi bagian inti dari banyak strategi manajemen identitas dan akses, menambah layanan yang dihosting cloud ID Microsoft Entra dan agen lokal lainnya.

Banyak pelanggan telah menyatakan minat untuk memindahkan pusat skenario manajemen identitas dan akses mereka sepenuhnya ke cloud. Beberapa pelanggan tidak akan lagi memiliki lingkungan lokal, sementara yang lain mengintegrasikan identitas yang dihosting cloud dan manajemen akses dengan aplikasi, direktori, dan database lokal mereka yang tersisa. Dokumen ini menyediakan panduan tentang opsi dan pendekatan migrasi untuk memindahkan skenario Manajemen Identitas dan Akses (IAM) dari Microsoft Identity Manager ke layanan yang dihosting cloud Microsoft Entra, dan akan diperbarui saat skenario baru tersedia untuk dimigrasikan. Panduan serupa tersedia untuk migrasi teknologi manajemen identitas lokal lainnya, termasuk migrasi dari ADFS.

Gambaran umum migrasi

MIM menerapkan praktik terbaik manajemen identitas dan akses pada saat desainnya. Sejak itu, lanskap manajemen identitas dan akses telah berevolusi dengan aplikasi baru dan prioritas bisnis baru, sehingga pendekatan yang direkomendasikan untuk mengatasi kasus penggunaan IAM akan dalam banyak kasus berbeda hari ini daripada yang sebelumnya direkomendasikan dengan MIM.

Selain itu, organisasi harus merencanakan pendekatan bertahap untuk migrasi skenario. Misalnya, organisasi dapat memprioritaskan migrasi skenario pengaturan ulang kata sandi mandiri pengguna akhir sebagai satu langkah, lalu setelah selesai, memindahkan skenario provisi. Urutan di mana organisasi memilih untuk memindahkan skenario mereka akan bergantung pada prioritas IT mereka secara keseluruhan dan dampaknya pada pemangku kepentingan lain, seperti pengguna akhir yang memerlukan pembaruan pelatihan, atau pemilik aplikasi.

Skenario IAM di MIM	Tautan untuk informasi selengkapnya tentang skenario IAM di Microsoft Entra
Provisi dari sumber SDM SAP	membawa identitas dari SAP HR ke MICROSOFT Entra ID
Provisi dari Workday dan sumber SDM cloud lainnya	provisi dari sistem SDM cloud ke microsoft Entra ID dengan alur kerja siklus hidup gabungan/tinggalkan
Provisi dari sumber SDM lokal lainnya	provisi dari sistem SDM lokal dengan alur kerja siklus hidup gabungan/tinggalkan
Provisi ke aplikasi lokal berbasis non-AD	memprovisikan pengguna dari ID Microsoft Entra ke aplikasi lokal
Manajemen daftar alamat global (GAL) untuk organisasi terdistribusi	sinkronisasi pengguna dari satu penyewa MICROSOFT Entra ID ke penyewa lain
Grup keamanan AD	mengatur aplikasi berbasis Active Directory lokal (Kerberos) menggunakan Tata Kelola ID Microsoft Entra
Grup dinamis	grup keamanan Microsoft Entra ID berbasis aturan dan keanggotaan grup Microsoft 365
Pengelolaan grup layanan mandiri	grup keamanan ID Microsoft Entra mandiri, grup Microsoft 365, dan manajemen pembuatan dan keanggotaan Teams
Manajemen kata sandi layanan mandiri	pengaturan ulang kata sandi mandiri dengan tulis balik ke AD
Manajemen kredensial yang kuat	autentikasi tanpa kata sandi untuk ID Microsoft Entra
Audit dan pelaporan historis	log arsip untuk pelaporan tentang ID Microsoft Entra dan aktivitas Tata Kelola ID Microsoft Entra dengan Azure Monitor
Manajemen akses istimewa	mengamankan akses istimewa untuk penyebaran hibrid dan cloud di ID Microsoft Entra
Manajemen akses berbasis peran bisnis	mengatur akses dengan memigrasikan model peran organisasi ke Tata Kelola ID Microsoft Entra
Pengesahan	tinjauan akses untuk keanggotaan grup, penetapan aplikasi, paket akses, dan peran

Provisi pengguna

Provisi pengguna adalah inti dari apa yang dilakukan MIM. Baik itu AD atau sumber SDM lainnya, mengimpor pengguna, menggabungkannya dalam metaverse dan kemudian menyediakannya ke repositori yang berbeda adalah salah satu fungsi intinya. Diagram di bawah ini mengilustrasikan skenario provisi/sinkronisasi klasik.

Sekarang banyak skenario provisi pengguna ini tersedia menggunakan ID Microsoft Entra dan penawaran terkait, yang memungkinkan Anda untuk memigrasikan skenario tersebut dari MIM untuk mengelola akun di aplikasi tersebut dari cloud.

Bagian berikut menjelaskan berbagai skenario provisi.

Provisi dari sistem SDM cloud ke Direktori Aktif atau ID Microsoft Entra dengan alur kerja gabungan/tinggalkan

Apakah Anda ingin menyediakan langsung dari cloud ke Direktori Aktif atau ID Microsoft Entra, ini dapat dicapai menggunakan integrasi bawaan ke ID Microsoft Entra. Tutorial berikut memberikan panduan tentang provisi langsung dari sumber SDM Anda ke AD atau ID Microsoft Entra.

• Tutorial: Mengonfigurasi Workday untuk provisi pengguna otomatis
• Tutorial: Mengonfigurasi Workday ke provisi pengguna Microsoft Entra

Banyak skenario HR cloud juga melibatkan penggunaan alur kerja otomatis. Beberapa aktivitas alur kerja ini yang dikembangkan menggunakan Pustaka Aktivitas Alur Kerja untuk MIM dapat dimigrasikan ke alur kerja Siklus Hidup Tata Kelola ID Microsoft. Banyak skenario dunia nyata ini sekarang dapat dibuat dan dikelola langsung dari cloud. Untuk mengetahui informasi lebih lanjut, tinjau dokumentasi berikut ini.

• Apa itu alur kerja siklus hidup?
• Mengotomatiskan on-boarding karyawan
• Mengotomatiskan karyawan off-boarding

Memprovisikan pengguna dari sistem SDM lokal ke ID Microsoft Entra dengan alur kerja gabungan/cuti

Pelanggan yang menggunakan SAP Human Capital Management (HCM) dan memiliki SAP SuccessFactors dapat membawa identitas ke microsoft Entra ID dengan menggunakan SAP Integration Suite untuk menyinkronkan daftar pekerja antara SAP HCM dan SAP SuccessFactors. Dari sana, Anda dapat membawa identitas langsung ke MICROSOFT Entra ID atau memprovisikannya ke Active Directory Domain Services.

Menggunakan provisi masuk berbasis API, sekarang dimungkinkan untuk memprovisikan pengguna langsung ke ID Microsoft Entra dari sistem SDM lokal Anda. Jika saat ini Anda menggunakan MIM untuk mengimpor pengguna dari sistem SDM lalu memprovisikannya ke ID Microsoft Entra, Anda sekarang dapat menggunakan konektor provisi masuk berbasis API kustom untuk menyelesaikan hal ini. Keuntungan menggunakan konektor provisi berbasis API untuk mencapai ini melalui MIM, adalah bahwa konektor provisi berbasis API memiliki overhead yang jauh lebih sedikit dan jejak lokal yang jauh lebih kecil, jika dibandingkan dengan MIM. Selain itu, dengan konektor provisi berbasis API, konektor tersebut dapat dikelola dari cloud. Lihat berikut ini untuk informasi selengkapnya tentang provisi berbasis API.

• Konsep provisi masuk berbasis API
• Mengaktifkan integrator sistem untuk membangun lebih banyak konektor ke sistem rekaman
• Mengonfigurasi aplikasi provisi masuk berbasis API

Ini juga dapat memanfaatkan alur kerja siklus hidup juga.

• Apa itu alur kerja siklus hidup?
• Mengotomatiskan on-boarding karyawan
• Mengotomatiskan karyawan off-boarding

Memprovisikan pengguna dari ID Microsoft Entra ke aplikasi lokal

Jika Anda menggunakan MIM untuk memprovisikan pengguna ke aplikasi seperti SAP ECC, ke aplikasi yang memiliki SOAP atau REST API, atau ke aplikasi dengan database SQL atau direktori LDAP non-AD yang mendasar, Anda sekarang dapat menggunakan provisi aplikasi lokal melalui Host Konektor ECMA untuk menyelesaikan tugas yang sama. Host Konektor ECMA adalah bagian dari agen ringan dan memungkinkan Anda mengurangi jejak MIM Anda. Jika Anda memiliki konektor kustom di lingkungan MIM, Anda dapat memigrasikan konfigurasinya ke agen. Untuk informasi selengkapnya, lihat dokumentasi di bawah ini.

• Arsitektur aplikasi provisi lokal
• Memprovisikan pengguna ke aplikasi yang diaktifkan SCIM
• Memprovisikan pengguna ke dalam aplikasi berbasis SQL
• Memprovisikan pengguna ke direktori LDAP
• Memprovisikan pengguna ke direktori LDAP untuk autentikasi Linux
• Memprovisikan pengguna ke dalam aplikasi menggunakan PowerShell
• Provisi dengan konektor layanan web
• Provisi dengan konektor kustom

Memprovisikan pengguna ke aplikasi SaaS cloud

Mengintegrasikan dengan aplikasi SaaS diperlukan di dunia komputasi cloud. Banyak skenario provisi yang dilakukan MIM ke aplikasi SaaS, sekarang dapat dilakukan langsung dari ID Microsoft Entra. Saat dikonfigurasi, MICROSOFT Entra ID secara otomatis memprovisi dan mendeprovisi pengguna ke aplikasi SaaS menggunakan layanan provisi Microsoft Entra. Untuk daftar lengkap tutorial aplikasi SaaS, lihat tautan di bawah ini.

• Tutorial untuk mengintegrasikan dengan aplikasi SaaS

Memprovisikan pengguna dan grup ke aplikasi kustom baru

Jika organisasi Anda membangun aplikasi baru, dan memerlukan penerimaan informasi atau sinyal pengguna atau grup saat pengguna diperbarui atau dihapus, kami sarankan aplikasi menggunakan Microsoft Graph untuk mengkueri ID Microsoft Entra, atau menggunakan SCIM untuk disediakan secara otomatis.

• Menggunakan Microsoft Graph API
• Mengembangkan dan merencanakan provisi untuk titik akhir SCIM di ID Microsoft Entra
• Memprovisikan pengguna ke aplikasi berkemampukan SCIM yang bersifat lokal

Skenario manajemen grup

Secara historis organisasi menggunakan MIM untuk mengelola grup di AD, termasuk grup keamanan AD dan Exchange DLs, yang kemudian disinkronkan melalui Microsoft Entra Connect ke MICROSOFT Entra ID dan Exchange Online. Organisasi sekarang dapat mengelola grup keamanan di Microsoft Entra ID dan Exchange Online, tanpa mengharuskan grup dibuat di Active Directory lokal.

Grup dinamis

Jika Anda menggunakan MIM untuk keanggotaan grup dinamis, grup ini dapat dimigrasikan menjadi grup Microsoft Entra ID Dynamic. Dengan aturan berbasis atribut, pengguna secara otomatis ditambahkan atau dihapus berdasarkan kriteria ini. Untuk mengetahui informasi lebih lanjut, tinjau dokumentasi berikut ini.

• Membuat atau memperbarui grup dinamis di ID Microsoft Entra

Membuat grup tersedia untuk aplikasi berbasis AD

Mengelola aplikasi lokal dengan grup Direktori Aktif yang disediakan dari dan dikelola di cloud yang digunakan sekarang dapat dicapai dengan sinkronisasi cloud Microsoft Entra. Sekarang sinkronisasi cloud Microsoft Entra memungkinkan Anda untuk sepenuhnya mengatur penetapan aplikasi di AD sambil memanfaatkan fitur Tata Kelola ID Microsoft Entra untuk mengontrol dan memulihkan permintaan terkait akses apa pun.

Untuk informasi selengkapnya, lihat Mengatur aplikasi berbasis Active Directory lokal (Kerberos) menggunakan Tata Kelola ID Microsoft Entra.

Skenario layanan mandiri

MIM juga telah digunakan dalam skenario layanan mandiri untuk mengelola data di Direktori Aktif, untuk digunakan oleh Exchange dan aplikasi terintegrasi AD. Sekarang banyak dari skenario yang sama ini dapat dicapai dari cloud.

Pengelolaan grup layanan mandiri

Anda dapat mengizinkan pengguna untuk membuat grup keamanan atau grup/Teams Microsoft 365, lalu mengelola keanggotaan grup mereka.

• Skenario manajemen grup layanan mandiri

Permintaan akses dengan persetujuan multi-tahap

Pengelolaan pemberian hak memperkenalkan konsep paket akses. Paket akses adalah bundel semua sumber daya dengan akses yang dibutuhkan pengguna untuk mengerjakan proyek atau melakukan tugas mereka, termasuk keanggotaan grup, situs SharePoint Online, atau penugasan ke peran aplikasi. Setiap paket akses mencakup kebijakan yang menentukan siapa yang mendapatkan akses secara otomatis, dan siapa yang dapat meminta akses.

• Apa itu pengelolaan pemberian hak?

Pengaturan ulang kata sandi mandiri

Pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra memberi pengguna kemampuan untuk mengubah atau mengatur ulang kata sandi mereka. Jika Anda memiliki lingkungan hibrid, Anda dapat mengonfigurasi Microsoft Entra Connect untuk menulis peristiwa perubahan kata sandi kembali dari ID Microsoft Entra ke Active Directory lokal.

• Pengaturan ulang kata sandi mandiri

Langkah berikutnya

• Panduan arsitektur identitas
• Sumber daya untuk mengelola aplikasi ke ID Microsoft Entra
• Memigrasikan aplikasi ADFS.