Scenario's voor identiteits- en toegangsbeheer migreren naar Microsoft Entra vanuit Microsoft Identity Manager
Microsoft Identity Manager is het on-premises identiteits- en toegangsbeheerproduct van Microsoft. Het is gebaseerd op technologie die in 2003 is geïntroduceerd, voortdurend verbeterd en wordt ondersteund in combinatie met Microsoft Entra cloudservices. MIM is een belangrijk onderdeel van veel strategieën voor identiteits- en toegangsbeheer, waardoor de cloudservices en andere on-premises agents van Microsoft Entra ID worden uitgebreid.
Veel klanten hebben interesse getoond om het centrum van hun identiteits- en toegangsbeheerscenario's volledig naar de cloud te verplaatsen. Sommige klanten hebben geen on-premises omgeving meer, terwijl andere het in de cloud gehoste identiteits- en toegangsbeheer integreren met hun resterende on-premises toepassingen, mappen en databases. Dit document bevat richtlijnen voor migratieopties en -benaderingen voor het verplaatsen van IAM-scenario's (Identiteits- en toegangsbeheer) van Microsoft Identity Manager naar Microsoft Entra cloudservices. Deze scenario's worden bijgewerkt zodra er nieuwe scenario's beschikbaar komen voor migratie. Vergelijkbare richtlijnen zijn beschikbaar voor de migratie van andere on-premises identiteitsbeheertechnologieën, waaronder migreren vanuit ADFS.
Migratieoverzicht
MIM implementeerde de best practices voor identiteits- en toegangsbeheer op het moment van het ontwerp. Sindsdien is het landschap voor identiteits- en toegangsbeheer geëvolueerd met nieuwe toepassingen en nieuwe bedrijfsprioriteiten. Daarom zijn de benaderingen die worden aanbevolen voor het aanpakken van IAM-gebruiksscenario's tegenwoordig in veel gevallen anders dan de benaderingen die eerder met MIM worden aanbevolen.
Daarnaast moeten organisaties een gefaseerde aanpak voor scenariomigratie plannen. Een organisatie kan bijvoorbeeld prioriteit geven aan het migreren van een selfservicescenario voor wachtwoordherstel voor eindgebruikers als één stap en vervolgens, zodra dat is voltooid, het verplaatsen van een inrichtingsscenario. De volgorde waarin een organisatie ervoor kiest om hun scenario's te verplaatsen, is afhankelijk van hun algemene IT-prioriteiten en de impact op andere belanghebbenden, zoals eindgebruikers die een trainingsupdate nodig hebben of toepassingseigenaren.
Inrichten van gebruikers
Het inrichten van gebruikers is de kern van wat MIM doet. Of het nu gaat om AD of andere HR-bronnen, het importeren van gebruikers, het samenvoegen ervan in de metaverse en het vervolgens inrichten naar verschillende opslagplaatsen is een van de kernfuncties. In het onderstaande diagram ziet u een klassiek inrichtings-/synchronisatiescenario.
Veel van deze scenario's voor het inrichten van gebruikers zijn nu beschikbaar met behulp van Microsoft Entra ID en gerelateerde aanbiedingen, waarmee u deze scenario's van MIM kunt migreren om accounts in deze toepassingen vanuit de cloud te beheren.
In de volgende secties worden de verschillende inrichtingsscenario's beschreven.
Inrichten van HR-systemen in de cloud naar Active Directory of Microsoft Entra ID met werkstromen voor deelnemen/verlaten
Of u nu rechtstreeks vanuit de cloud in Active Directory of Microsoft Entra ID wilt inrichten, dit kan worden bereikt met behulp van ingebouwde integraties om te Microsoft Entra ID. De volgende zelfstudies bieden richtlijnen voor het rechtstreeks inrichten vanuit uw HR-bron in AD of Microsoft Entra ID.
- Zelfstudie: Workday configureren voor automatisch inrichten van gebruikers
- Zelfstudie: Workday configureren voor het Microsoft Entra van gebruikersinrichting
Veel van de HR-scenario's in de cloud hebben ook betrekking op het gebruik van geautomatiseerde werkstromen. Sommige van deze werkstroomactiviteiten die zijn ontwikkeld met behulp van de werkstroomactiviteitsbibliotheek voor MIM, kunnen worden gemigreerd naar Microsoft ID Governance Lifecycle-werkstromen. Veel van deze praktijkscenario's kunnen nu rechtstreeks vanuit de cloud worden gemaakt en beheerd. Voor meer informatie raadpleegt u de volgende documentatie.
- Wat zijn levenscycluswerkstromen?
- Onboarding van werknemers automatiseren
- Offboarding van werknemers automatiseren
Gebruikers van on-premises HR-systemen inrichten voor Microsoft Entra ID met werkstromen voor deelnemen/verlaten
Met API-gestuurde binnenkomende inrichting is het nu mogelijk om gebruikers rechtstreeks in te richten op Microsoft Entra ID vanuit uw on-premises HR-systeem. Als u momenteel een MIM gebruikt om gebruikers te importeren uit een HR-systeem en deze vervolgens in te richten voor Microsoft Entra ID, kunt u nu een aangepaste API-gestuurde connector voor binnenkomende inrichting maken om dit te bereiken. Het voordeel van het gebruik van de API-gestuurde inrichtingsconnector om dit te bereiken ten opzichte van MIM, is dat de API-gestuurde inrichtingsconnector veel minder overhead en een veel kleinere footprint on-premises heeft, in vergelijking met MIM. Met de API-gestuurde inrichtingsconnector kan deze ook worden beheerd vanuit de cloud. Zie het volgende voor meer informatie over API-gestuurde inrichting.
- Concepten voor api-gestuurde binnenkomende inrichting
- Systeemintegrators in staat stellen om meer connectors te bouwen voor recordsystemen
- Api-gestuurde binnenkomende inrichtings-app configureren
Deze kunnen ook gebruikmaken van levenscycluswerkstromen.
- Wat zijn levenscycluswerkstromen?
- Onboarding van werknemers automatiseren
- Offboarding van werknemers automatiseren
Gebruikers van Microsoft Entra ID inrichten voor on-premises apps
Als u MIM gebruikt om gebruikers in te richten voor toepassingen zoals SQL of LDAP, kunt u nu on-premises toepassingsinrichting gebruiken via de ECMA-connectorhost om dezelfde taken uit te voeren. De ECMA-connectorhost maakt deel uit van een lichtgewicht agent en stelt u in staat om uw MIM-footprint te verminderen. Zie de onderstaande documentatie voor meer informatie.
- Architectuur van on-premises inrichtingstoepassing
- Gebruikers inrichten voor SCIM-apps
- Gebruikers inrichten in op SQL gebaseerde toepassingen
- Gebruikers inrichten in LDAP-directory's
- Gebruikers inrichten in een LDAP-directory voor Linux-verificatie
- Gebruikers inrichten in toepassingen met behulp van PowerShell
- Inrichten met de webserviceconnector
- Inrichten met de aangepaste connectors
Gebruikers inrichten voor Cloud SaaS-apps
Integratie met SaaS-toepassingen is nodig in de wereld van cloud-computing. Veel van de inrichtingsscenario's die MIM uitvoerde voor SaaS-apps, kunnen nu rechtstreeks vanuit Microsoft Entra ID worden uitgevoerd. Wanneer de configuratie is uitgevoerd, Microsoft Entra ID inrichting en ongedaan maken van de inrichting van gebruikers automatisch in SaaS-toepassingen met behulp van de Microsoft Entra-inrichtingsservice. Zie de onderstaande koppeling voor een volledige lijst met zelfstudies voor SaaS-apps.
Gebruikers en groepen inrichten voor nieuwe aangepaste apps
Als uw organisatie nieuwe toepassingen bouwt en gebruikers- of groepsinformatie of -signalen moet ontvangen wanneer gebruikers worden bijgewerkt of verwijderd, raden we de toepassing aan Microsoft Graph te gebruiken om een query uit te voeren op Microsoft Entra ID of SCIM te gebruiken om automatisch te worden ingericht.
- De Microsoft Graph API gebruiken
- Inrichting voor een SCIM-eindpunt ontwikkelen en plannen in Microsoft Entra ID
- Gebruikers inrichten voor toepassingen met SCIM-functionaliteit die on-premises zijn
Scenario's voor groepsbeheer
In het verleden gebruikten organisaties MIM voor het beheren van groepen in AD, waaronder AD-beveiligingsgroepen en Exchange DLs, die vervolgens via Microsoft Entra Connect werden gesynchroniseerd met Microsoft Entra ID en Exchange Online. Organisaties kunnen nu beveiligingsgroepen in Microsoft Entra ID en Exchange Online beheren, zonder dat groepen hoeven te worden gemaakt in on-premises Active Directory.
Dynamische groepen
Als u MIM gebruikt voor dynamisch groepslidmaatschap, kunnen deze groepen worden gemigreerd om te worden Microsoft Entra ID Dynamische groepen. Met regels op basis van kenmerken worden gebruikers automatisch toegevoegd of verwijderd op basis van deze criteria. Voor meer informatie raadpleegt u de volgende documentatie.
Groepen beschikbaar maken voor op AD gebaseerde toepassingen
Het beheren van on-premises toepassingen met Active Directory-groepen die worden ingericht vanuit en beheerd in de cloud die wordt gebruikt, kan nu worden uitgevoerd met Microsoft Entra cloudsynchronisatie. Met Microsoft Entra cloudsynchronisatie kunt u nu toepassingstoewijzingen in AD volledig beheren en tegelijkertijd gebruikmaken van Microsoft Entra ID-governance functies om toegangsaanvragen te beheren en te herstellen.
Zie Op on-premises Active Directory gebaseerde apps (Kerberos) beheren met Microsoft Entra ID-governance (preview) voor meer informatie.
Selfservicescenario's
MIM wordt ook gebruikt in selfservicescenario's voor het beheren van gegevens in Active Directory, voor gebruik door Exchange en met AD geïntegreerde apps. Veel van deze scenario's kunnen nu vanuit de cloud worden uitgevoerd.
Groepsbeheer via selfservice
U kunt gebruikers toestaan beveiligingsgroepen of Microsoft 365-groepen/Teams te maken en vervolgens het lidmaatschap van hun groep te beheren.
Toegangsaanvragen met goedkeuringen met meerdere fasen
Rechtenbeheer introduceert het concept van een toegangspakket. Een toegangspakket is een bundel van alle resources met de toegang die een gebruiker nodig heeft om aan een project te werken of zijn taak uit te voeren, inclusief lidmaatschap van groepen, SharePoint Online-sites of toewijzing aan toepassingsrollen. Elk toegangspakket bevat beleidsregels die aangeven wie automatisch toegang krijgt en wie toegang kan aanvragen.
Self-service voor wachtwoord opnieuw instellen
Microsoft Entra selfservice voor wachtwoordherstel (SSPR) biedt gebruikers de mogelijkheid om hun wachtwoord te wijzigen of opnieuw in te stellen. Als u een hybride omgeving hebt, kunt u Microsoft Entra Connect configureren om gebeurtenissen voor wachtwoordwijziging terug te schrijven van Microsoft Entra ID naar een on-premises Active Directory.
Volgende stappen
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor