次の方法で共有

ID とアクセス管理のシナリオをMicrosoft Identity ManagerからMicrosoft Entraに移行する

  • [アーティクル]

Microsoft Identity Managerは、Microsoft のオンプレミスでホストされる ID およびアクセス管理製品です。 これは、2003 年に導入されたテクノロジに基づいており、現在まで継続的に改善され、Microsoft Entraクラウド サービスと共にサポートされています。 MIM は、多くの ID およびアクセス管理戦略の中核的な部分であり、Microsoft Entra IDのクラウドでホストされるサービスやその他のオンプレミス エージェントを拡張しています。

多くのお客様は、ID とアクセス管理のシナリオの中心を完全にクラウドに移行することに関心を示しています。 オンプレミス環境がなくなったお客様もあれば、クラウドでホストされる ID とアクセス管理を、残りのオンプレミス のアプリケーション、ディレクトリ、データベースと統合する場合もあります。 このドキュメントでは、ID およびアクセス管理 (IAM) シナリオをMicrosoft Identity ManagerからクラウドでホストされるサービスMicrosoft Entraに移行するための移行オプションとアプローチに関するガイダンスを提供し、移行に新しいシナリオが利用可能になると更新されます。 同様のガイダンスは、 ADFS からの移行など、他のオンプレミス ID 管理テクノロジの移行にも使用できます。

移行の概要

MIM は、設計時に ID とアクセス管理のベスト プラクティスを実装しました。 それ以来、ID とアクセス管理の状況は新しいアプリケーションと新しいビジネスの優先順位によって進化しているため、IAM ユース ケースに対処するために推奨されるアプローチは、多くの場合、MIM で以前に推奨されているものとは異なります。

さらに、組織はシナリオ移行の段階的なアプローチを計画する必要があります。 たとえば、organizationでは、エンド ユーザーのセルフサービス パスワード リセット シナリオの移行を 1 つの手順として優先し、完了したらプロビジョニング シナリオを移動する場合があります。 organizationがシナリオの移動を選択する順序は、IT の全体的な優先順位と、トレーニング更新プログラムを必要とするエンド ユーザーやアプリケーション所有者など、他の利害関係者への影響によって異なります。

MIM の IAM シナリオ Microsoft Entraの IAM シナリオの詳細については、リンクを参照してください
SAP HR ソースからのプロビジョニング SAP HR から ID をMicrosoft Entra IDに取り込む
Workday およびその他のクラウド人事ソースからのプロビジョニング 参加/脱退ライフサイクル ワークフローを使用したクラウド人事システムからMicrosoft Entra IDへのプロビジョニング
他のオンプレミス人事ソースからのプロビジョニング 参加/脱退ライフサイクル ワークフローを使用したオンプレミスの人事システムからのプロビジョニング
AD ベース以外のオンプレミス アプリケーションへのプロビジョニング Microsoft Entra IDからオンプレミス アプリへのユーザーのプロビジョニング
分散組織のグローバル アドレス一覧 (GAL) 管理 あるMicrosoft Entra IDテナントから別のテナントへのユーザーの同期
AD セキュリティ グループ Microsoft Entra ID ガバナンス (プレビュー) を使用してオンプレミスの Active Directoryベースのアプリ (Kerberos) を管理する
動的グループ ルールベースのMicrosoft Entra ID セキュリティ グループと Microsoft 365 グループ メンバーシップ
セルフサービスのグループ管理 セルフサービス Microsoft Entra ID セキュリティ グループ、Microsoft 365 グループ、Teams の作成とメンバーシップ管理
セルフサービスによるパスワード管理 AD への書き戻しによるセルフサービス パスワード リセット
強力な資格情報の管理 Microsoft Entra IDのパスワードレス認証
監査とレポートの履歴 Azure Monitor を使用したMicrosoft Entra IDおよびMicrosoft Entra IDガバナンス アクティビティに関するレポート用のアーカイブ ログ
特権アクセス管理 Microsoft Entra IDでのハイブリッドおよびクラウドデプロイの特権アクセスのセキュリティ保護
ビジネス ロールベースのアクセス管理 組織のロール モデルを Microsoft Entra ID ガバナンスに移行することでアクセスを管理する
構成証明 グループ メンバーシップ、アプリケーションの割り当て、アクセス パッケージとロールのアクセス レビュー

ユーザー プロビジョニング

ユーザー プロビジョニングは、MIM の機能の中心にあります。 AD や他の人事ソースに関係なく、ユーザーをインポートし、メタバースで集計し、別のリポジトリにプロビジョニングすることは、そのコア機能の 1 つです。 次の図は、従来のプロビジョニング/同期シナリオを示しています。

MIM を使用したオンプレミス プロビジョニングの概念図。

これらのユーザー プロビジョニング シナリオの多くは、Microsoft Entra IDと関連するオファリングを使用して使用できるようになりました。これにより、これらのシナリオを MIM から移行して、それらのアプリケーションのアカウントをクラウドから管理できます。

以降のセクションでは、さまざまなプロビジョニング シナリオについて説明します。

クラウド人事システムから Active Directory へのプロビジョニング、または参加/退出ワークフローを使用したMicrosoft Entra ID

Microsoft Entra IDと AD へのクラウド プロビジョニングの概念図。

クラウドから Active Directory またはMicrosoft Entra IDに直接プロビジョニングする場合でも、組み込みの統合を使用してMicrosoft Entra IDを行うことができます。 次のチュートリアルでは、HR ソースから AD またはMicrosoft Entra IDへの直接プロビジョニングに関するガイダンスを提供します。

クラウド人事シナリオの多くでは、自動化されたワークフローの使用も含まれます。 MIM 用ワークフロー アクティビティ ライブラリを使用して開発されたこれらのワークフロー アクティビティの一部は、Microsoft ID ガバナンス ライフサイクル ワークフローに移行できます。 これらの実際のシナリオの多くは、クラウドから直接作成および管理できるようになりました。 詳しくは、次のドキュメントを参照してください。

オンプレミスの人事システムから参加/脱退ワークフローを使用したMicrosoft Entra IDへのユーザーのプロビジョニング

Microsoft Entra IDへの API 駆動型プロビジョニングの概念図。

API 主導の受信プロビジョニングを使用して、オンプレミスの人事システムからMicrosoft Entra IDにユーザーを直接プロビジョニングできるようになりました。 現在、MIM を使用して人事システムからユーザーをインポートし、それをMicrosoft Entra IDにプロビジョニングしている場合は、カスタム API 駆動型受信プロビジョニング コネクタを構築してこれを実現できるようになりました。 MIM を介してこれを実現するために API 駆動型プロビジョニング コネクタを使用する利点は、MIM と比較して、API 駆動型プロビジョニング コネクタのオーバーヘッドが大幅に少なく、オンプレミスのフットプリントが大幅に小さくなることです。 また、API 駆動型プロビジョニング コネクタを使用すると、クラウドから管理できます。 API 駆動型プロビジョニングの詳細については、以下を参照してください。

また、ライフサイクル ワークフローも活用できます。

Microsoft Entra IDからオンプレミス アプリへのユーザーのプロビジョニング

オンプレミス アプリへのプロビジョニングの概念図。

MIM を使用して SQL や LDAP などのアプリケーションにユーザーをプロビジョニングしている場合は、ECMA コネクタ ホスト経由でオンプレミスのアプリケーション プロビジョニングを使用して、同じタスクを実行できるようになりました。 ECMA コネクタ ホストは軽量エージェントの一部であり、MIM フットプリントを削減できます。 詳細については、以下のドキュメントを参照してください。

クラウド SaaS アプリへのユーザーのプロビジョニング

Saas アプリへのプロビジョニングの概念図。

クラウド コンピューティングの世界では、SaaS アプリケーションとの統合が必要です。 MIM が SaaS アプリに対して実行していたプロビジョニング シナリオの多くは、Microsoft Entra IDから直接実行できるようになりました。 構成すると、Microsoft Entra ID Microsoft Entra プロビジョニング サービスを使用して、SaaS アプリケーションに対するユーザーのプロビジョニングとプロビジョニング解除を自動的に行います。 SaaS アプリのチュートリアルの完全な一覧については、以下のリンクを参照してください。

ユーザーとグループを新しいカスタム アプリにプロビジョニングする

organizationが新しいアプリケーションをビルドしていて、ユーザーが更新または削除されたときにユーザーまたはグループの情報またはシグナルを受信する必要がある場合は、アプリケーションで Microsoft Graph を使用してMicrosoft Entra IDにクエリを実行するか、SCIM を使用して自動的にプロビジョニングすることをお勧めします。

グループ管理のシナリオ

これまで、組織は AD セキュリティ グループや Exchange DLs を含む AD のグループを管理するために MIM を使用していました。その後、Microsoft Entra Connect to Microsoft Entra ID and Exchange Onlineを介して同期されました。 組織は、Microsoft Entra IDとExchange Onlineのセキュリティ グループを管理できるようになりました。オンプレミスの Active Directoryでグループを作成する必要はありません。

動的グループ

動的グループ メンバーシップに MIM を使用している場合、これらのグループは動的グループMicrosoft Entra IDに移行できます。 属性ベースのルールでは、ユーザーはこの条件に基づいて自動的に追加または削除されます。 詳しくは、次のドキュメントを参照してください。

AD ベースのアプリケーションでグループを使用できるようにする

使用するクラウドでプロビジョニングおよび管理される Active Directory グループを使用してオンプレミス アプリケーションを管理できるようになりました。クラウド同期Microsoft Entra使用できるようになりました。クラウド同期Microsoft Entra、MICROSOFT ENTRA ID ガバナンス機能を利用してアクセス関連の要求を制御および修復しながら、AD でのアプリケーションの割り当てを完全に管理できるようになりました。

詳細については、Microsoft Entra ID ガバナンス (プレビュー) を使用したオンプレミスの Active Directory ベースのアプリ (Kerberos) の管理に関するページを参照してください。

セルフサービス シナリオ

セルフサービスの概念図。

MIM は、Exchange と AD 統合アプリで使用するために、Active Directory でデータを管理するためのセルフサービス シナリオでも使用されています。 これで、これらの同じシナリオの多くをクラウドから実現できます。

セルフサービスのグループ管理

ユーザーがセキュリティ グループまたは Microsoft 365 グループ/Teams を作成し、そのグループのメンバーシップを管理することを許可できます。

複数ステージの承認を使用して要求にアクセスする

エンタイトルメント管理では、アクセス パッケージの概念を導入しています。 アクセス パッケージは、ユーザーがプロジェクトで作業したり、グループのメンバーシップ、SharePoint Online サイト、アプリケーション ロールへの割り当てを含むタスクを実行したりする必要があるアクセス権を持つすべてのリソースのバンドルです。 各アクセス パッケージには、自動的にアクセスを取得するユーザーとアクセスを要求できるユーザーを指定するポリシーが含まれています。

セルフサービス パスワード リセット

Microsoft Entraセルフサービス パスワード リセット (SSPR) を使用すると、ユーザーは自分のパスワードを変更またはリセットできます。 ハイブリッド環境がある場合は、Microsoft Entra接続を構成して、パスワード変更イベントをMicrosoft Entra IDからオンプレミスの Active Directoryに書き戻すことができます。

次の手順