Scenario's voor identiteits- en toegangsbeheer migreren naar Microsoft Entra vanuit Microsoft Identity Manager

Microsoft Identity Manager is het on-premises identiteits- en toegangsbeheerproduct van Microsoft. Het is gebaseerd op technologie die in 2003 is geïntroduceerd, voortdurend verbeterd en wordt ondersteund in combinatie met Microsoft Entra cloudservices. MIM is een belangrijk onderdeel van veel strategieën voor identiteits- en toegangsbeheer, waardoor de cloudservices en andere on-premises agents van Microsoft Entra ID worden uitgebreid.

Veel klanten hebben interesse getoond om het centrum van hun identiteits- en toegangsbeheerscenario's volledig naar de cloud te verplaatsen. Sommige klanten hebben geen on-premises omgeving meer, terwijl andere het in de cloud gehoste identiteits- en toegangsbeheer integreren met hun resterende on-premises toepassingen, mappen en databases. Dit document bevat richtlijnen voor migratieopties en -benaderingen voor het verplaatsen van IAM-scenario's (Identiteits- en toegangsbeheer) van Microsoft Identity Manager naar Microsoft Entra cloudservices. Deze scenario's worden bijgewerkt zodra er nieuwe scenario's beschikbaar komen voor migratie. Vergelijkbare richtlijnen zijn beschikbaar voor de migratie van andere on-premises identiteitsbeheertechnologieën, waaronder migreren vanuit ADFS.

Migratieoverzicht

MIM implementeerde de best practices voor identiteits- en toegangsbeheer op het moment van het ontwerp. Sindsdien is het landschap voor identiteits- en toegangsbeheer geëvolueerd met nieuwe toepassingen en nieuwe bedrijfsprioriteiten. Daarom zijn de benaderingen die worden aanbevolen voor het aanpakken van IAM-gebruiksscenario's tegenwoordig in veel gevallen anders dan de benaderingen die eerder met MIM worden aanbevolen.

Daarnaast moeten organisaties een gefaseerde aanpak voor scenariomigratie plannen. Een organisatie kan bijvoorbeeld prioriteit geven aan het migreren van een selfservicescenario voor wachtwoordherstel voor eindgebruikers als één stap en vervolgens, zodra dat is voltooid, het verplaatsen van een inrichtingsscenario. De volgorde waarin een organisatie ervoor kiest om hun scenario's te verplaatsen, is afhankelijk van hun algemene IT-prioriteiten en de impact op andere belanghebbenden, zoals eindgebruikers die een trainingsupdate nodig hebben of toepassingseigenaren.

IAM-scenario in MIM	Koppeling voor meer informatie over IAM-scenario's in Microsoft Entra
Inrichten vanuit SAP HR-bronnen	identiteiten van SAP HR in Microsoft Entra ID
Inrichten vanuit Workday en andere HR-bronnen in de cloud	inrichten van HR-systemen in de cloud naar Microsoft Entra ID met werkstromen voor deelname/verlaten
Inrichten vanuit andere on-premises HR-bronnen	inrichten vanuit on-premises HR-systemen met werkstromen voor deelname/verlaten van levenscyclus
Inrichten voor on-premises toepassingen die niet op AD zijn gebaseerd	gebruikers inrichten van Microsoft Entra ID naar on-premises apps
Beheer van algemene adreslijsten (GAL) voor gedistribueerde organisaties	synchronisatie van gebruikers van de ene Microsoft Entra ID tenant naar een andere
AD-beveiligingsgroepen	op on-premises Active Directory gebaseerde apps (Kerberos) beheren met behulp van Microsoft Entra ID-governance (preview)
Dynamische groepen	op regels gebaseerde Microsoft Entra ID beveiligingsgroep en Microsoft 365-groepslidmaatschappen
Groepsbeheer via selfservice	selfservice Microsoft Entra ID beveiligingsgroep, Microsoft 365-groepen en teams maken en lidmaatschapsbeheer
Wachtwoordbeheer via selfservice	selfservice voor wachtwoordherstel met write-back naar AD
Sterk referentiebeheer	verificatie zonder wachtwoord voor Microsoft Entra ID
Historische controle en rapportage	archive logs for reporting on Microsoft Entra ID and Microsoft Entra ID-governance activities with Azure Monitor (logboeken archiveren voor rapportage over Microsoft Entra ID en Microsoft Entra ID-governance activiteiten met Azure Monitor)
Uitgebreide toegang management	het beveiligen van bevoegde toegang voor hybride en cloudimplementaties in Microsoft Entra ID
Toegangsbeheer op basis van zakelijke rollen	toegang beheren door een organisatierolmodel te migreren naar Microsoft Entra ID-governance
Attestation	toegangsbeoordelingen voor groepslidmaatschappen, toepassingstoewijzingen, toegangspakketten en rollen

Inrichten van gebruikers

Het inrichten van gebruikers is de kern van wat MIM doet. Of het nu gaat om AD of andere HR-bronnen, het importeren van gebruikers, het samenvoegen ervan in de metaverse en het vervolgens inrichten naar verschillende opslagplaatsen is een van de kernfuncties. In het onderstaande diagram ziet u een klassiek inrichtings-/synchronisatiescenario.

Veel van deze scenario's voor het inrichten van gebruikers zijn nu beschikbaar met behulp van Microsoft Entra ID en gerelateerde aanbiedingen, waarmee u deze scenario's van MIM kunt migreren om accounts in deze toepassingen vanuit de cloud te beheren.

In de volgende secties worden de verschillende inrichtingsscenario's beschreven.

Inrichten van HR-systemen in de cloud naar Active Directory of Microsoft Entra ID met werkstromen voor deelnemen/verlaten

Of u nu rechtstreeks vanuit de cloud in Active Directory of Microsoft Entra ID wilt inrichten, dit kan worden bereikt met behulp van ingebouwde integraties om te Microsoft Entra ID. De volgende zelfstudies bieden richtlijnen voor het rechtstreeks inrichten vanuit uw HR-bron in AD of Microsoft Entra ID.

• Zelfstudie: Workday configureren voor automatisch inrichten van gebruikers
• Zelfstudie: Workday configureren voor het Microsoft Entra van gebruikersinrichting

Veel van de HR-scenario's in de cloud hebben ook betrekking op het gebruik van geautomatiseerde werkstromen. Sommige van deze werkstroomactiviteiten die zijn ontwikkeld met behulp van de werkstroomactiviteitsbibliotheek voor MIM, kunnen worden gemigreerd naar Microsoft ID Governance Lifecycle-werkstromen. Veel van deze praktijkscenario's kunnen nu rechtstreeks vanuit de cloud worden gemaakt en beheerd. Voor meer informatie raadpleegt u de volgende documentatie.

• Wat zijn levenscycluswerkstromen?
• Onboarding van werknemers automatiseren
• Offboarding van werknemers automatiseren

Gebruikers van on-premises HR-systemen inrichten voor Microsoft Entra ID met werkstromen voor deelnemen/verlaten

Met API-gestuurde binnenkomende inrichting is het nu mogelijk om gebruikers rechtstreeks in te richten op Microsoft Entra ID vanuit uw on-premises HR-systeem. Als u momenteel een MIM gebruikt om gebruikers te importeren uit een HR-systeem en deze vervolgens in te richten voor Microsoft Entra ID, kunt u nu een aangepaste API-gestuurde connector voor binnenkomende inrichting maken om dit te bereiken. Het voordeel van het gebruik van de API-gestuurde inrichtingsconnector om dit te bereiken ten opzichte van MIM, is dat de API-gestuurde inrichtingsconnector veel minder overhead en een veel kleinere footprint on-premises heeft, in vergelijking met MIM. Met de API-gestuurde inrichtingsconnector kan deze ook worden beheerd vanuit de cloud. Zie het volgende voor meer informatie over API-gestuurde inrichting.

• Concepten voor api-gestuurde binnenkomende inrichting
• Systeemintegrators in staat stellen om meer connectors te bouwen voor recordsystemen
• Api-gestuurde binnenkomende inrichtings-app configureren

Deze kunnen ook gebruikmaken van levenscycluswerkstromen.

• Wat zijn levenscycluswerkstromen?
• Onboarding van werknemers automatiseren
• Offboarding van werknemers automatiseren

Gebruikers van Microsoft Entra ID inrichten voor on-premises apps

Als u MIM gebruikt om gebruikers in te richten voor toepassingen zoals SQL of LDAP, kunt u nu on-premises toepassingsinrichting gebruiken via de ECMA-connectorhost om dezelfde taken uit te voeren. De ECMA-connectorhost maakt deel uit van een lichtgewicht agent en stelt u in staat om uw MIM-footprint te verminderen. Zie de onderstaande documentatie voor meer informatie.

• Architectuur van on-premises inrichtingstoepassing
• Gebruikers inrichten voor SCIM-apps
• Gebruikers inrichten in op SQL gebaseerde toepassingen
• Gebruikers inrichten in LDAP-directory's
• Gebruikers inrichten in een LDAP-directory voor Linux-verificatie
• Gebruikers inrichten in toepassingen met behulp van PowerShell
• Inrichten met de webserviceconnector
• Inrichten met de aangepaste connectors

Gebruikers inrichten voor Cloud SaaS-apps

Integratie met SaaS-toepassingen is nodig in de wereld van cloud-computing. Veel van de inrichtingsscenario's die MIM uitvoerde voor SaaS-apps, kunnen nu rechtstreeks vanuit Microsoft Entra ID worden uitgevoerd. Wanneer de configuratie is uitgevoerd, Microsoft Entra ID inrichting en ongedaan maken van de inrichting van gebruikers automatisch in SaaS-toepassingen met behulp van de Microsoft Entra-inrichtingsservice. Zie de onderstaande koppeling voor een volledige lijst met zelfstudies voor SaaS-apps.

• Zelfstudies voor integratie met SaaS-apps

Gebruikers en groepen inrichten voor nieuwe aangepaste apps

Als uw organisatie nieuwe toepassingen bouwt en gebruikers- of groepsinformatie of -signalen moet ontvangen wanneer gebruikers worden bijgewerkt of verwijderd, raden we de toepassing aan Microsoft Graph te gebruiken om een query uit te voeren op Microsoft Entra ID of SCIM te gebruiken om automatisch te worden ingericht.

• De Microsoft Graph API gebruiken
• Inrichting voor een SCIM-eindpunt ontwikkelen en plannen in Microsoft Entra ID
• Gebruikers inrichten voor toepassingen met SCIM-functionaliteit die on-premises zijn

Scenario's voor groepsbeheer

In het verleden gebruikten organisaties MIM voor het beheren van groepen in AD, waaronder AD-beveiligingsgroepen en Exchange DLs, die vervolgens via Microsoft Entra Connect werden gesynchroniseerd met Microsoft Entra ID en Exchange Online. Organisaties kunnen nu beveiligingsgroepen in Microsoft Entra ID en Exchange Online beheren, zonder dat groepen hoeven te worden gemaakt in on-premises Active Directory.

Dynamische groepen

Als u MIM gebruikt voor dynamisch groepslidmaatschap, kunnen deze groepen worden gemigreerd om te worden Microsoft Entra ID Dynamische groepen. Met regels op basis van kenmerken worden gebruikers automatisch toegevoegd of verwijderd op basis van deze criteria. Voor meer informatie raadpleegt u de volgende documentatie.

• Een dynamische groep Creatie of bijwerken in Microsoft Entra ID

Groepen beschikbaar maken voor op AD gebaseerde toepassingen

Het beheren van on-premises toepassingen met Active Directory-groepen die worden ingericht vanuit en beheerd in de cloud die wordt gebruikt, kan nu worden uitgevoerd met Microsoft Entra cloudsynchronisatie. Met Microsoft Entra cloudsynchronisatie kunt u nu toepassingstoewijzingen in AD volledig beheren en tegelijkertijd gebruikmaken van Microsoft Entra ID-governance functies om toegangsaanvragen te beheren en te herstellen.

Zie Op on-premises Active Directory gebaseerde apps (Kerberos) beheren met Microsoft Entra ID-governance (preview) voor meer informatie.

Selfservicescenario's

MIM wordt ook gebruikt in selfservicescenario's voor het beheren van gegevens in Active Directory, voor gebruik door Exchange en met AD geïntegreerde apps. Veel van deze scenario's kunnen nu vanuit de cloud worden uitgevoerd.

Groepsbeheer via selfservice

U kunt gebruikers toestaan beveiligingsgroepen of Microsoft 365-groepen/Teams te maken en vervolgens het lidmaatschap van hun groep te beheren.

• Scenario's voor selfservice voor groepsbeheer

Toegangsaanvragen met goedkeuringen met meerdere fasen

Rechtenbeheer introduceert het concept van een toegangspakket. Een toegangspakket is een bundel van alle resources met de toegang die een gebruiker nodig heeft om aan een project te werken of zijn taak uit te voeren, inclusief lidmaatschap van groepen, SharePoint Online-sites of toewijzing aan toepassingsrollen. Elk toegangspakket bevat beleidsregels die aangeven wie automatisch toegang krijgt en wie toegang kan aanvragen.

• Wat is rechtenbeheer?

Self-service voor wachtwoord opnieuw instellen

Microsoft Entra selfservice voor wachtwoordherstel (SSPR) biedt gebruikers de mogelijkheid om hun wachtwoord te wijzigen of opnieuw in te stellen. Als u een hybride omgeving hebt, kunt u Microsoft Entra Connect configureren om gebeurtenissen voor wachtwoordwijziging terug te schrijven van Microsoft Entra ID naar een on-premises Active Directory.

• Self-service voor wachtwoord opnieuw instellen

Volgende stappen

• Handleidingen voor identiteitsarchitectuur
• Resources voor het beheren van toepassingen naar Microsoft Entra ID
• ADFS-toepassingen migreren.