ID とアクセス管理のシナリオをMicrosoft Identity ManagerからMicrosoft Entraに移行する
Microsoft Identity Managerは、Microsoft のオンプレミスでホストされる ID およびアクセス管理製品です。 これは、2003 年に導入されたテクノロジに基づいており、現在まで継続的に改善され、Microsoft Entraクラウド サービスと共にサポートされています。 MIM は、多くの ID およびアクセス管理戦略の中核的な部分であり、Microsoft Entra IDのクラウドでホストされるサービスやその他のオンプレミス エージェントを拡張しています。
多くのお客様は、ID とアクセス管理のシナリオの中心を完全にクラウドに移行することに関心を示しています。 オンプレミス環境がなくなったお客様もあれば、クラウドでホストされる ID とアクセス管理を、残りのオンプレミス のアプリケーション、ディレクトリ、データベースと統合する場合もあります。 このドキュメントでは、ID およびアクセス管理 (IAM) シナリオをMicrosoft Identity ManagerからクラウドでホストされるサービスMicrosoft Entraに移行するための移行オプションとアプローチに関するガイダンスを提供し、移行に新しいシナリオが利用可能になると更新されます。 同様のガイダンスは、 ADFS からの移行など、他のオンプレミス ID 管理テクノロジの移行にも使用できます。
移行の概要
MIM は、設計時に ID とアクセス管理のベスト プラクティスを実装しました。 それ以来、ID とアクセス管理の状況は新しいアプリケーションと新しいビジネスの優先順位によって進化しているため、IAM ユース ケースに対処するために推奨されるアプローチは、多くの場合、MIM で以前に推奨されているものとは異なります。
さらに、組織はシナリオ移行の段階的なアプローチを計画する必要があります。 たとえば、organizationでは、エンド ユーザーのセルフサービス パスワード リセット シナリオの移行を 1 つの手順として優先し、完了したらプロビジョニング シナリオを移動する場合があります。 organizationがシナリオの移動を選択する順序は、IT の全体的な優先順位と、トレーニング更新プログラムを必要とするエンド ユーザーやアプリケーション所有者など、他の利害関係者への影響によって異なります。
ユーザー プロビジョニング
ユーザー プロビジョニングは、MIM の機能の中心にあります。 AD や他の人事ソースに関係なく、ユーザーをインポートし、メタバースで集計し、別のリポジトリにプロビジョニングすることは、そのコア機能の 1 つです。 次の図は、従来のプロビジョニング/同期シナリオを示しています。
これらのユーザー プロビジョニング シナリオの多くは、Microsoft Entra IDと関連するオファリングを使用して使用できるようになりました。これにより、これらのシナリオを MIM から移行して、それらのアプリケーションのアカウントをクラウドから管理できます。
以降のセクションでは、さまざまなプロビジョニング シナリオについて説明します。
クラウド人事システムから Active Directory へのプロビジョニング、または参加/退出ワークフローを使用したMicrosoft Entra ID
クラウドから Active Directory またはMicrosoft Entra IDに直接プロビジョニングする場合でも、組み込みの統合を使用してMicrosoft Entra IDを行うことができます。 次のチュートリアルでは、HR ソースから AD またはMicrosoft Entra IDへの直接プロビジョニングに関するガイダンスを提供します。
クラウド人事シナリオの多くでは、自動化されたワークフローの使用も含まれます。 MIM 用ワークフロー アクティビティ ライブラリを使用して開発されたこれらのワークフロー アクティビティの一部は、Microsoft ID ガバナンス ライフサイクル ワークフローに移行できます。 これらの実際のシナリオの多くは、クラウドから直接作成および管理できるようになりました。 詳しくは、次のドキュメントを参照してください。
オンプレミスの人事システムから参加/脱退ワークフローを使用したMicrosoft Entra IDへのユーザーのプロビジョニング
API 主導の受信プロビジョニングを使用して、オンプレミスの人事システムからMicrosoft Entra IDにユーザーを直接プロビジョニングできるようになりました。 現在、MIM を使用して人事システムからユーザーをインポートし、それをMicrosoft Entra IDにプロビジョニングしている場合は、カスタム API 駆動型受信プロビジョニング コネクタを構築してこれを実現できるようになりました。 MIM を介してこれを実現するために API 駆動型プロビジョニング コネクタを使用する利点は、MIM と比較して、API 駆動型プロビジョニング コネクタのオーバーヘッドが大幅に少なく、オンプレミスのフットプリントが大幅に小さくなることです。 また、API 駆動型プロビジョニング コネクタを使用すると、クラウドから管理できます。 API 駆動型プロビジョニングの詳細については、以下を参照してください。
- API 駆動インバウンド プロビジョニングの概念
- システム インテグレーターがレコードのシステムに対してより多くのコネクタを構築できるようにする
- API 駆動型インバウンド プロビジョニング アプリを構成する
また、ライフサイクル ワークフローも活用できます。
Microsoft Entra IDからオンプレミス アプリへのユーザーのプロビジョニング
MIM を使用して SQL や LDAP などのアプリケーションにユーザーをプロビジョニングしている場合は、ECMA コネクタ ホスト経由でオンプレミスのアプリケーション プロビジョニングを使用して、同じタスクを実行できるようになりました。 ECMA コネクタ ホストは軽量エージェントの一部であり、MIM フットプリントを削減できます。 詳細については、以下のドキュメントを参照してください。
- オンプレミスプロビジョニングアプリケーションアーキテクチャ
- SCIM 対応アプリへのユーザーのプロビジョニング
- SQL ベースのアプリケーションにユーザーをプロビジョニングする
- LDAP ディレクトリへのユーザーのプロビジョニング
- Linux 認証用の LDAP ディレクトリへのユーザーのプロビジョニング
- PowerShell を使用したアプリケーションへのユーザーのプロビジョニング
- Web サービス コネクタを使用したプロビジョニング
- カスタム コネクタを使用したプロビジョニング
クラウド SaaS アプリへのユーザーのプロビジョニング
クラウド コンピューティングの世界では、SaaS アプリケーションとの統合が必要です。 MIM が SaaS アプリに対して実行していたプロビジョニング シナリオの多くは、Microsoft Entra IDから直接実行できるようになりました。 構成すると、Microsoft Entra ID Microsoft Entra プロビジョニング サービスを使用して、SaaS アプリケーションに対するユーザーのプロビジョニングとプロビジョニング解除を自動的に行います。 SaaS アプリのチュートリアルの完全な一覧については、以下のリンクを参照してください。
ユーザーとグループを新しいカスタム アプリにプロビジョニングする
organizationが新しいアプリケーションをビルドしていて、ユーザーが更新または削除されたときにユーザーまたはグループの情報またはシグナルを受信する必要がある場合は、アプリケーションで Microsoft Graph を使用してMicrosoft Entra IDにクエリを実行するか、SCIM を使用して自動的にプロビジョニングすることをお勧めします。
- Microsoft Graph API を使用する
- Microsoft Entra IDでの SCIM エンドポイントのプロビジョニングの開発と計画
- オンプレミスの SCIM 対応アプリケーションへのユーザーのプロビジョニング
グループ管理のシナリオ
これまで、組織は AD セキュリティ グループや Exchange DLs を含む AD のグループを管理するために MIM を使用していました。その後、Microsoft Entra Connect to Microsoft Entra ID and Exchange Onlineを介して同期されました。 組織は、Microsoft Entra IDとExchange Onlineのセキュリティ グループを管理できるようになりました。オンプレミスの Active Directoryでグループを作成する必要はありません。
動的グループ
動的グループ メンバーシップに MIM を使用している場合、これらのグループは動的グループMicrosoft Entra IDに移行できます。 属性ベースのルールでは、ユーザーはこの条件に基づいて自動的に追加または削除されます。 詳しくは、次のドキュメントを参照してください。
AD ベースのアプリケーションでグループを使用できるようにする
使用するクラウドでプロビジョニングおよび管理される Active Directory グループを使用してオンプレミス アプリケーションを管理できるようになりました。クラウド同期Microsoft Entra使用できるようになりました。クラウド同期Microsoft Entra、MICROSOFT ENTRA ID ガバナンス機能を利用してアクセス関連の要求を制御および修復しながら、AD でのアプリケーションの割り当てを完全に管理できるようになりました。
詳細については、Microsoft Entra ID ガバナンス (プレビュー) を使用したオンプレミスの Active Directory ベースのアプリ (Kerberos) の管理に関するページを参照してください。
セルフサービス シナリオ
MIM は、Exchange と AD 統合アプリで使用するために、Active Directory でデータを管理するためのセルフサービス シナリオでも使用されています。 これで、これらの同じシナリオの多くをクラウドから実現できます。
セルフサービスのグループ管理
ユーザーがセキュリティ グループまたは Microsoft 365 グループ/Teams を作成し、そのグループのメンバーシップを管理することを許可できます。
複数ステージの承認を使用して要求にアクセスする
エンタイトルメント管理では、アクセス パッケージの概念を導入しています。 アクセス パッケージは、ユーザーがプロジェクトで作業したり、グループのメンバーシップ、SharePoint Online サイト、アプリケーション ロールへの割り当てを含むタスクを実行したりする必要があるアクセス権を持つすべてのリソースのバンドルです。 各アクセス パッケージには、自動的にアクセスを取得するユーザーとアクセスを要求できるユーザーを指定するポリシーが含まれています。
セルフサービス パスワード リセット
Microsoft Entraセルフサービス パスワード リセット (SSPR) を使用すると、ユーザーは自分のパスワードを変更またはリセットできます。 ハイブリッド環境がある場合は、Microsoft Entra接続を構成して、パスワード変更イベントをMicrosoft Entra IDからオンプレミスの Active Directoryに書き戻すことができます。
次の手順
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示