Migrowanie scenariuszy zarządzania tożsamościami i dostępem do Microsoft Entra z Microsoft Identity Manager
Microsoft Identity Manager to lokalny produkt do zarządzania tożsamościami i dostępem firmy Microsoft. Opiera się ona na technologii wprowadzonej w 2003 r., stale ulepszanych w dzisiejszych czasach i obsługiwanych wraz z usługami w chmurze Microsoft Entra. Program MIM jest główną częścią wielu strategii zarządzania tożsamościami i dostępem, rozszerzania usług hostowanych w chmurze i innych agentów lokalnych Tożsamość Microsoft Entra.
Wielu klientów wyraziło zainteresowanie przeniesieniem centrum scenariuszy zarządzania tożsamościami i dostępem w całości do chmury. Niektórzy klienci nie będą już mieć środowiska lokalnego, podczas gdy inni integrują zarządzanie tożsamościami i dostępem hostowaną w chmurze z pozostałymi aplikacjami lokalnymi, katalogami i bazami danych. Ten dokument zawiera wskazówki dotyczące opcji migracji i podejść do przenoszenia scenariuszy zarządzania tożsamościami i dostępem (IAM) z Microsoft Identity Manager do Microsoft Entra usług hostowanych w chmurze i zostaną zaktualizowane, ponieważ nowe scenariusze staną się dostępne do migracji. Podobne wskazówki są dostępne do migracji innych lokalnych technologii zarządzania tożsamościami, w tym migracji z usług ADFS.
Omówienie migracji
Program MIM zaimplementował najlepsze rozwiązania dotyczące zarządzania tożsamościami i dostępem w momencie jego projektowania. Od tego czasu krajobraz zarządzania tożsamościami i dostępem ewoluował wraz z nowymi aplikacjami i nowymi priorytetami biznesowymi, a więc podejścia zalecane do rozwiązywania przypadków użycia tożsamości i tożsamości będą dziś inne niż te, które wcześniej były zalecane w programie MIM.
Ponadto organizacje powinny planować etapowe podejście do migracji scenariuszy. Na przykład organizacja może określić priorytet migracji scenariusza samoobsługowego resetowania haseł przez użytkownika końcowego w jednym kroku, a następnie po zakończeniu przenoszenia scenariusza aprowizacji. Kolejność, w jakiej organizacja zdecyduje się przenieść swoje scenariusze, będzie zależeć od ogólnych priorytetów IT i wpływu na innych uczestników projektu, takich jak użytkownicy końcowi potrzebują aktualizacji szkoleń lub właściciele aplikacji.
Aprowizowanie użytkowników
Aprowizowanie użytkowników jest w samym sercu tego, co robi program MIM. Niezależnie od tego, czy jest to usługa AD, czy inne źródła kadr, importowanie użytkowników, agregowanie ich w metaverse, a następnie aprowizowanie ich w różnych repozytoriach jest jedną z jego podstawowych funkcji. Na poniższym diagramie przedstawiono klasyczny scenariusz aprowizacji/synchronizacji.
Teraz wiele z tych scenariuszy aprowizacji użytkowników jest dostępnych przy użyciu Tożsamość Microsoft Entra i powiązanych ofert, które umożliwiają migrowanie tych scenariuszy poza programem MIM do zarządzania kontami w tych aplikacjach z chmury.
W poniższych sekcjach opisano różne scenariusze aprowizacji.
Aprowizowanie z systemów kadr w chmurze do usługi Active Directory lub Tożsamość Microsoft Entra przy użyciu przepływów pracy dołączania/opuszczania
Niezależnie od tego, czy chcesz aprowizować bezpośrednio z chmury w usłudze Active Directory, czy Tożsamość Microsoft Entra, można to zrobić przy użyciu wbudowanych integracji w celu Tożsamość Microsoft Entra. Poniższe samouczki zawierają wskazówki dotyczące aprowizacji bezpośrednio ze źródła kadr w usłudze AD lub Tożsamość Microsoft Entra.
- Samouczek: konfigurowanie produktu Workday na potrzeby automatycznej aprowizacji użytkowników
- Samouczek: konfigurowanie aplikacji Workday do Microsoft Entra aprowizacji użytkowników
Wiele scenariuszy kadr w chmurze obejmuje również używanie zautomatyzowanych przepływów pracy. Niektóre z tych działań przepływu pracy, które zostały opracowane przy użyciu biblioteki działań przepływu pracy dla programu MIM, można migrować do przepływów pracy cyklu życia ładu identyfikatorów firmy Microsoft. Wiele z tych rzeczywistych scenariuszy można teraz tworzyć i zarządzać nimi bezpośrednio z chmury. Więcej informacji można znaleźć w następującej dokumentacji.
- Co to są przepływy pracy cyklu życia?
- Automatyzowanie dołączania pracowników
- Automatyzowanie dołączania pracowników
Aprowizowanie użytkowników z lokalnych systemów KADR w celu Tożsamość Microsoft Entra z przepływami pracy sprzężenia/opuszczenia
Przy użyciu aprowizacji przychodzącej opartej na interfejsie API można teraz aprowizować użytkowników bezpośrednio do Tożsamość Microsoft Entra z lokalnego systemu kadr. Jeśli obecnie używasz programu MIM do importowania użytkowników z systemu HR, a następnie aprowizacji ich w celu Tożsamość Microsoft Entra, możesz teraz użyć niestandardowego łącznika aprowizacji przychodzącej opartej na interfejsie API, aby to osiągnąć. Zaletą korzystania z łącznika aprowizacji opartego na interfejsie API w celu osiągnięcia tego za pośrednictwem programu MIM jest to, że łącznik aprowizacji opartej na interfejsie API ma znacznie mniejsze obciążenie i znacznie mniejszy ślad w środowisku lokalnym w porównaniu z programem MIM. Ponadto za pomocą łącznika aprowizacji opartego na interfejsie API można zarządzać nim z chmury. Aby uzyskać więcej informacji na temat aprowizacji opartej na interfejsie API, zobacz poniższe informacje.
- Pojęcia dotyczące aprowizacji przychodzącej opartej na interfejsie API
- Umożliwienie integratorom systemów tworzenia większej liczby łączników w systemach rekordów
- Konfigurowanie aplikacji aprowizacji przychodzącej opartej na interfejsie API
Mogą one również korzystać z przepływów pracy cyklu życia.
- Co to są przepływy pracy cyklu życia?
- Automatyzowanie dołączania pracowników
- Automatyzowanie dołączania pracowników
Aprowizowanie użytkowników z Tożsamość Microsoft Entra do aplikacji lokalnych
Jeśli używasz programu MIM do aprowizowania użytkowników w aplikacjach, takich jak SQL lub LDAP, możesz teraz użyć aprowizacji aplikacji lokalnych za pośrednictwem hosta łącznika ECMA, aby wykonać te same zadania. Host łącznika ECMA jest częścią agenta lekkiego i umożliwia zmniejszenie śladu programu MIM. Aby uzyskać więcej informacji, zobacz poniższą dokumentację.
- Lokalna architektura aplikacji aprowizacji
- Aprowizowanie użytkowników w aplikacjach z obsługą protokołu SCIM
- Aprowizowanie użytkowników w aplikacjach opartych na języku SQL
- Aprowizowanie użytkowników w katalogach LDAP
- Aprowizowanie użytkowników w katalogu LDAP na potrzeby uwierzytelniania systemu Linux
- Aprowizowanie użytkowników w aplikacjach przy użyciu programu PowerShell
- Aprowizowanie za pomocą łącznika usług internetowych
- Aprowizowanie za pomocą łączników niestandardowych
Aprowizuj użytkowników w aplikacjach SaaS w chmurze
Integracja z aplikacjami SaaS jest potrzebna w świecie przetwarzania w chmurze. Wiele scenariuszy aprowizacji wykonywanych przez program MIM w aplikacjach SaaS można teraz wykonać bezpośrednio z poziomu Tożsamość Microsoft Entra. Po skonfigurowaniu usługa Tożsamość Microsoft Entra automatycznie aprowizuje i anuluje aprowizację użytkowników w aplikacjach SaaS przy użyciu usługi aprowizacji Microsoft Entra. Aby uzyskać pełną listę samouczków dotyczących aplikacji SaaS, zobacz poniższy link.
Aprowizuj użytkowników i grupy w nowych aplikacjach niestandardowych
Jeśli Twoja organizacja tworzy nowe aplikacje i wymaga otrzymywania informacji o użytkowniku lub grupie albo sygnałów podczas aktualizowania lub usuwania użytkowników, zalecamy, aby aplikacja korzystała z programu Microsoft Graph do wykonywania zapytań dotyczących Tożsamość Microsoft Entra lub automatycznego aprowizowania przy użyciu SCIM.
- Korzystanie z usługi Microsoft interfejs Graph API
- Opracowywanie i planowanie aprowizacji punktu końcowego SCIM w Tożsamość Microsoft Entra
- Aprowizowanie użytkowników w aplikacjach obsługujących protokół SCIM, które są lokalne
Scenariusze zarządzania grupami
Historycznie organizacje używały programu MIM do zarządzania grupami w usłudze AD, w tym grup zabezpieczeń usługi AD i listami DLS programu Exchange, które następnie zostały zsynchronizowane za pośrednictwem programu Microsoft Entra Connect z Tożsamość Microsoft Entra i Exchange Online. Organizacje mogą teraz zarządzać grupami zabezpieczeń w Tożsamość Microsoft Entra i Exchange Online bez konieczności tworzenia grup w lokalna usługa Active Directory.
Grupy dynamiczne
Jeśli używasz programu MIM do członkostwa w grupie dynamicznej, te grupy można migrować, aby Tożsamość Microsoft Entra grupy dynamiczne. W przypadku reguł opartych na atrybutach użytkownicy są automatycznie dodawani lub usuwani na podstawie tych kryteriów. Więcej informacji można znaleźć w następującej dokumentacji.
Udostępnianie grup aplikacjom opartym na usłudze AD
Zarządzanie aplikacjami lokalnymi przy użyciu grup usługi Active Directory, które są aprowidowane z chmury i zarządzane w używanej chmurze, można teraz wykonać za pomocą synchronizacji z chmurą Microsoft Entra. Teraz Microsoft Entra synchronizacja w chmurze umożliwia pełne zarządzanie przypisaniami aplikacji w usłudze AD przy jednoczesnym wykorzystaniu funkcji Zarządzanie tożsamością Microsoft Entra do kontrolowania i korygowania wszelkich żądań związanych z dostępem.
Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra (wersja zapoznawcza).
Scenariusze samoobsługi
Program MIM jest również używany w scenariuszach samoobsługi do zarządzania danymi w usłudze Active Directory do użytku przez aplikacje zintegrowane z programem Exchange i usługami AD. Teraz wiele z tych samych scenariuszy można wykonać z chmury.
Samoobsługowe zarządzanie grupami
Możesz zezwolić użytkownikom na tworzenie grup zabezpieczeń lub grup platformy Microsoft 365/Teams, a następnie zarządzanie członkostwem w ich grupie.
Żądania dostępu z zatwierdzeniami wieloetapowymi
Zarządzanie upoważnieniami wprowadza koncepcję pakietu dostępu. Pakiet dostępu jest pakietem wszystkich zasobów z dostępem, który użytkownik musi wykonać w projekcie lub wykonać swoje zadanie, w tym członkostwo w grupach, witrynach usługi SharePoint Online lub przypisanie do ról aplikacji. Każdy pakiet dostępu zawiera zasady określające, kto automatycznie uzyskuje dostęp i kto może żądać dostępu.
Samoobsługowe resetowanie haseł
Microsoft Entra samoobsługowego resetowania hasła (SSPR) umożliwia użytkownikom zmianę lub resetowanie hasła. Jeśli masz środowisko hybrydowe, możesz skonfigurować program Microsoft Entra Connect w celu zapisywania zdarzeń zmiany hasła z Tożsamość Microsoft Entra do lokalna usługa Active Directory.