Migrowanie scenariuszy zarządzania tożsamościami i dostępem do Microsoft Entra z Microsoft Identity Manager

Microsoft Identity Manager to lokalny produkt do zarządzania tożsamościami i dostępem firmy Microsoft. Opiera się ona na technologii wprowadzonej w 2003 r., stale ulepszanych w dzisiejszych czasach i obsługiwanych wraz z usługami w chmurze Microsoft Entra. Program MIM jest główną częścią wielu strategii zarządzania tożsamościami i dostępem, rozszerzania usług hostowanych w chmurze i innych agentów lokalnych Tożsamość Microsoft Entra.

Wielu klientów wyraziło zainteresowanie przeniesieniem centrum scenariuszy zarządzania tożsamościami i dostępem w całości do chmury. Niektórzy klienci nie będą już mieć środowiska lokalnego, podczas gdy inni integrują zarządzanie tożsamościami i dostępem hostowaną w chmurze z pozostałymi aplikacjami lokalnymi, katalogami i bazami danych. Ten dokument zawiera wskazówki dotyczące opcji migracji i podejść do przenoszenia scenariuszy zarządzania tożsamościami i dostępem (IAM) z Microsoft Identity Manager do Microsoft Entra usług hostowanych w chmurze i zostaną zaktualizowane, ponieważ nowe scenariusze staną się dostępne do migracji. Podobne wskazówki są dostępne do migracji innych lokalnych technologii zarządzania tożsamościami, w tym migracji z usług ADFS.

Omówienie migracji

Program MIM zaimplementował najlepsze rozwiązania dotyczące zarządzania tożsamościami i dostępem w momencie jego projektowania. Od tego czasu krajobraz zarządzania tożsamościami i dostępem ewoluował wraz z nowymi aplikacjami i nowymi priorytetami biznesowymi, a więc podejścia zalecane do rozwiązywania przypadków użycia tożsamości i tożsamości będą dziś inne niż te, które wcześniej były zalecane w programie MIM.

Ponadto organizacje powinny planować etapowe podejście do migracji scenariuszy. Na przykład organizacja może określić priorytet migracji scenariusza samoobsługowego resetowania haseł przez użytkownika końcowego w jednym kroku, a następnie po zakończeniu przenoszenia scenariusza aprowizacji. Kolejność, w jakiej organizacja zdecyduje się przenieść swoje scenariusze, będzie zależeć od ogólnych priorytetów IT i wpływu na innych uczestników projektu, takich jak użytkownicy końcowi potrzebują aktualizacji szkoleń lub właściciele aplikacji.

Scenariusz zarządzania dostępem i tożsamościami w programie MIM	Link, aby uzyskać więcej informacji na temat scenariusza zarządzania dostępem i tożsamościami w Microsoft Entra
Aprowizowanie ze źródeł SAP HR	przenoszenie tożsamości z systemu SAP HR do Tożsamość Microsoft Entra
Aprowizowanie z poziomu produktu Workday i innych źródeł kadr w chmurze	aprowizowanie z systemów kadr w chmurze do Tożsamość Microsoft Entra z przepływami pracy cyklu życia sprzężenia/opuszczenia
Aprowizowanie z innych lokalnych źródeł kadr	aprowizacja z lokalnych systemów KADR z przepływami pracy cyklu życia sprzężenia/opuszczenia
Aprowizowanie aplikacji lokalnych spoza usługi AD	aprowizowanie użytkowników z Tożsamość Microsoft Entra do aplikacji lokalnych
Globalne zarządzanie listą adresów (GAL) dla organizacji rozproszonych	synchronizacja użytkowników z jednej dzierżawy Tożsamość Microsoft Entra do innej
Grupy zabezpieczeń usługi AD	zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra (wersja zapoznawcza)
Grupy dynamiczne	oparte na regułach Tożsamość Microsoft Entra grupy zabezpieczeń i członkostwa w grupach platformy Microsoft 365
Samoobsługowe zarządzanie grupami	samoobsługowa grupa zabezpieczeń Tożsamość Microsoft Entra, grupy platformy Microsoft 365 oraz tworzenie i zarządzanie członkostwem w usłudze Teams
Samoobsługowe zarządzanie hasłami	samoobsługowe resetowanie hasła z zapisywaniem zwrotnym w usłudze AD
Silne zarządzanie poświadczeniami	Uwierzytelnianie bez hasła dla Tożsamość Microsoft Entra
Inspekcja historyczna i raportowanie	archiwizowanie dzienników raportowania dotyczących działań Tożsamość Microsoft Entra i Zarządzanie tożsamością Microsoft Entra za pomocą usługi Azure Monitor
Zarządzanie dostępem uprzywilejowanym	zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w Tożsamość Microsoft Entra
Zarządzanie dostępem na podstawie ról biznesowych	zarządzanie dostępem przez migrowanie modelu roli organizacyjnej do Zarządzanie tożsamością Microsoft Entra
Zaświadczanie	przeglądy dostępu dla członkostwa w grupach, przypisań aplikacji, pakietów dostępu i ról

Aprowizowanie użytkowników

Aprowizowanie użytkowników jest w samym sercu tego, co robi program MIM. Niezależnie od tego, czy jest to usługa AD, czy inne źródła kadr, importowanie użytkowników, agregowanie ich w metaverse, a następnie aprowizowanie ich w różnych repozytoriach jest jedną z jego podstawowych funkcji. Na poniższym diagramie przedstawiono klasyczny scenariusz aprowizacji/synchronizacji.

Teraz wiele z tych scenariuszy aprowizacji użytkowników jest dostępnych przy użyciu Tożsamość Microsoft Entra i powiązanych ofert, które umożliwiają migrowanie tych scenariuszy poza programem MIM do zarządzania kontami w tych aplikacjach z chmury.

W poniższych sekcjach opisano różne scenariusze aprowizacji.

Aprowizowanie z systemów kadr w chmurze do usługi Active Directory lub Tożsamość Microsoft Entra przy użyciu przepływów pracy dołączania/opuszczania

Niezależnie od tego, czy chcesz aprowizować bezpośrednio z chmury w usłudze Active Directory, czy Tożsamość Microsoft Entra, można to zrobić przy użyciu wbudowanych integracji w celu Tożsamość Microsoft Entra. Poniższe samouczki zawierają wskazówki dotyczące aprowizacji bezpośrednio ze źródła kadr w usłudze AD lub Tożsamość Microsoft Entra.

• Samouczek: konfigurowanie produktu Workday na potrzeby automatycznej aprowizacji użytkowników
• Samouczek: konfigurowanie aplikacji Workday do Microsoft Entra aprowizacji użytkowników

Wiele scenariuszy kadr w chmurze obejmuje również używanie zautomatyzowanych przepływów pracy. Niektóre z tych działań przepływu pracy, które zostały opracowane przy użyciu biblioteki działań przepływu pracy dla programu MIM, można migrować do przepływów pracy cyklu życia ładu identyfikatorów firmy Microsoft. Wiele z tych rzeczywistych scenariuszy można teraz tworzyć i zarządzać nimi bezpośrednio z chmury. Więcej informacji można znaleźć w następującej dokumentacji.

• Co to są przepływy pracy cyklu życia?
• Automatyzowanie dołączania pracowników
• Automatyzowanie dołączania pracowników

Aprowizowanie użytkowników z lokalnych systemów KADR w celu Tożsamość Microsoft Entra z przepływami pracy sprzężenia/opuszczenia

Przy użyciu aprowizacji przychodzącej opartej na interfejsie API można teraz aprowizować użytkowników bezpośrednio do Tożsamość Microsoft Entra z lokalnego systemu kadr. Jeśli obecnie używasz programu MIM do importowania użytkowników z systemu HR, a następnie aprowizacji ich w celu Tożsamość Microsoft Entra, możesz teraz użyć niestandardowego łącznika aprowizacji przychodzącej opartej na interfejsie API, aby to osiągnąć. Zaletą korzystania z łącznika aprowizacji opartego na interfejsie API w celu osiągnięcia tego za pośrednictwem programu MIM jest to, że łącznik aprowizacji opartej na interfejsie API ma znacznie mniejsze obciążenie i znacznie mniejszy ślad w środowisku lokalnym w porównaniu z programem MIM. Ponadto za pomocą łącznika aprowizacji opartego na interfejsie API można zarządzać nim z chmury. Aby uzyskać więcej informacji na temat aprowizacji opartej na interfejsie API, zobacz poniższe informacje.

• Pojęcia dotyczące aprowizacji przychodzącej opartej na interfejsie API
• Umożliwienie integratorom systemów tworzenia większej liczby łączników w systemach rekordów
• Konfigurowanie aplikacji aprowizacji przychodzącej opartej na interfejsie API

Mogą one również korzystać z przepływów pracy cyklu życia.

• Co to są przepływy pracy cyklu życia?
• Automatyzowanie dołączania pracowników
• Automatyzowanie dołączania pracowników

Aprowizowanie użytkowników z Tożsamość Microsoft Entra do aplikacji lokalnych

Jeśli używasz programu MIM do aprowizowania użytkowników w aplikacjach, takich jak SQL lub LDAP, możesz teraz użyć aprowizacji aplikacji lokalnych za pośrednictwem hosta łącznika ECMA, aby wykonać te same zadania. Host łącznika ECMA jest częścią agenta lekkiego i umożliwia zmniejszenie śladu programu MIM. Aby uzyskać więcej informacji, zobacz poniższą dokumentację.

• Lokalna architektura aplikacji aprowizacji
• Aprowizowanie użytkowników w aplikacjach z obsługą protokołu SCIM
• Aprowizowanie użytkowników w aplikacjach opartych na języku SQL
• Aprowizowanie użytkowników w katalogach LDAP
• Aprowizowanie użytkowników w katalogu LDAP na potrzeby uwierzytelniania systemu Linux
• Aprowizowanie użytkowników w aplikacjach przy użyciu programu PowerShell
• Aprowizowanie za pomocą łącznika usług internetowych
• Aprowizowanie za pomocą łączników niestandardowych

Aprowizuj użytkowników w aplikacjach SaaS w chmurze

Integracja z aplikacjami SaaS jest potrzebna w świecie przetwarzania w chmurze. Wiele scenariuszy aprowizacji wykonywanych przez program MIM w aplikacjach SaaS można teraz wykonać bezpośrednio z poziomu Tożsamość Microsoft Entra. Po skonfigurowaniu usługa Tożsamość Microsoft Entra automatycznie aprowizuje i anuluje aprowizację użytkowników w aplikacjach SaaS przy użyciu usługi aprowizacji Microsoft Entra. Aby uzyskać pełną listę samouczków dotyczących aplikacji SaaS, zobacz poniższy link.

• Samouczki dotyczące integracji z aplikacjami SaaS

Aprowizuj użytkowników i grupy w nowych aplikacjach niestandardowych

Jeśli Twoja organizacja tworzy nowe aplikacje i wymaga otrzymywania informacji o użytkowniku lub grupie albo sygnałów podczas aktualizowania lub usuwania użytkowników, zalecamy, aby aplikacja korzystała z programu Microsoft Graph do wykonywania zapytań dotyczących Tożsamość Microsoft Entra lub automatycznego aprowizowania przy użyciu SCIM.

• Korzystanie z usługi Microsoft interfejs Graph API
• Opracowywanie i planowanie aprowizacji punktu końcowego SCIM w Tożsamość Microsoft Entra
• Aprowizowanie użytkowników w aplikacjach obsługujących protokół SCIM, które są lokalne

Scenariusze zarządzania grupami

Historycznie organizacje używały programu MIM do zarządzania grupami w usłudze AD, w tym grup zabezpieczeń usługi AD i listami DLS programu Exchange, które następnie zostały zsynchronizowane za pośrednictwem programu Microsoft Entra Connect z Tożsamość Microsoft Entra i Exchange Online. Organizacje mogą teraz zarządzać grupami zabezpieczeń w Tożsamość Microsoft Entra i Exchange Online bez konieczności tworzenia grup w lokalna usługa Active Directory.

Grupy dynamiczne

Jeśli używasz programu MIM do członkostwa w grupie dynamicznej, te grupy można migrować, aby Tożsamość Microsoft Entra grupy dynamiczne. W przypadku reguł opartych na atrybutach użytkownicy są automatycznie dodawani lub usuwani na podstawie tych kryteriów. Więcej informacji można znaleźć w następującej dokumentacji.

• Twórca lub aktualizowanie grupy dynamicznej w Tożsamość Microsoft Entra

Udostępnianie grup aplikacjom opartym na usłudze AD

Zarządzanie aplikacjami lokalnymi przy użyciu grup usługi Active Directory, które są aprowidowane z chmury i zarządzane w używanej chmurze, można teraz wykonać za pomocą synchronizacji z chmurą Microsoft Entra. Teraz Microsoft Entra synchronizacja w chmurze umożliwia pełne zarządzanie przypisaniami aplikacji w usłudze AD przy jednoczesnym wykorzystaniu funkcji Zarządzanie tożsamością Microsoft Entra do kontrolowania i korygowania wszelkich żądań związanych z dostępem.

Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra (wersja zapoznawcza).

Scenariusze samoobsługi

Program MIM jest również używany w scenariuszach samoobsługi do zarządzania danymi w usłudze Active Directory do użytku przez aplikacje zintegrowane z programem Exchange i usługami AD. Teraz wiele z tych samych scenariuszy można wykonać z chmury.

Samoobsługowe zarządzanie grupami

Możesz zezwolić użytkownikom na tworzenie grup zabezpieczeń lub grup platformy Microsoft 365/Teams, a następnie zarządzanie członkostwem w ich grupie.

• Scenariusze samoobsługowego zarządzania grupami

Żądania dostępu z zatwierdzeniami wieloetapowymi

Zarządzanie upoważnieniami wprowadza koncepcję pakietu dostępu. Pakiet dostępu jest pakietem wszystkich zasobów z dostępem, który użytkownik musi wykonać w projekcie lub wykonać swoje zadanie, w tym członkostwo w grupach, witrynach usługi SharePoint Online lub przypisanie do ról aplikacji. Każdy pakiet dostępu zawiera zasady określające, kto automatycznie uzyskuje dostęp i kto może żądać dostępu.

• Co to jest zarządzanie upoważnieniami?

Samoobsługowe resetowanie haseł

Microsoft Entra samoobsługowego resetowania hasła (SSPR) umożliwia użytkownikom zmianę lub resetowanie hasła. Jeśli masz środowisko hybrydowe, możesz skonfigurować program Microsoft Entra Connect w celu zapisywania zdarzeń zmiany hasła z Tożsamość Microsoft Entra do lokalna usługa Active Directory.

• Samoobsługowe resetowanie haseł

Następne kroki

• Przewodniki dotyczące architektury tożsamości
• Zasoby do zarządzania aplikacjami do Tożsamość Microsoft Entra
• Migrowanie aplikacji usług AD FS.