Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera wskazówki dotyczące sposobu podejmowania decyzji przez organizacje, które mogą być stosowane w wielu połączonych źródłach danych. Można to osiągnąć za pomocą operacji wyszukiwania, usuwania, aktualizowania i raportów. Przed podjęciem decyzji o podejściu do usuwania lub aktualizowania zrozumienie bieżącego projektu i konfiguracji systemu zarządzania tożsamościami (MIM) ma kluczowe znaczenie.
Poniżej przedstawiono kilka scenariuszy, w których klienci będą musieli wziąć pod uwagę i odpowiedzieć na następujące pytania:
- Jakie dane są potrzebne do zarządzania tożsamościami, aby ułatwić proces biznesowy?
- Gdzie będą przechowywane bieżące dane w programie MIM?
- Jak będą używane te dane w systemie?
- Czy udostępniasz te dane wszystkim partnerom zewnętrznym(Eksportowanie)
- Jakie jest źródło autorytatywne dla danych i ich przetwarzanie?
- Jaki będzie plan przechowywania danych i usuwania danych?
- Czy zidentyfikowano całą technologię, którą musisz przetwarzać i zarządzać danymi?
Aby ułatwić zrozumienie bieżącego środowiska programu MIM, możesz użyć następującego narzędzia do dokumentowania środowiska programu MIM lub odroczenia w dokumentach projektu implementacji.
Wyszukiwanie i identyfikowanie danych osobowych
Wyszukiwanie danych w programie MIM będzie zależne od konfiguracji i konfiguracji. Większość środowisk jest połączonych ze sobą, ale w celu zapewnienia przejrzystości wybuchliśmy przez składnik wysokiego poziomu.
Usługa synchronizacji
Wszystkie dane w programie MIM, które odnoszą się do użytkowników, pochodzą ze źródeł danych usługi Active Directory (AD) i HR. Podczas wyszukiwania danych osobowych należy rozważyć wyszukiwanie w usłudze AD lub połączonych źródłach danych.
Jeśli nie masz pewności, że źródło urzędu możesz śledzić tego użytkownika z konsoli synchronizacji programu MIM Service Manager, kliknij pasek wyszukiwania Metaverse, aby wyświetlić możliwe do zidentyfikowania dane osobowe przechowywane w bazie danych. Użytkownicy mogą wyszukiwać określonego użytkownika lub atrybutu.
- Aby przeprowadzić przegląd lub wyszukiwanie danych obiektów użytkownika
- Otwieranie klienta usługi synchronizacji
- Użycie projektanta metaverse umożliwia wyświetlanie importu i pierwszeństwa przepływu atrybutów.
- Korzystanie z wyszukiwania metaverse umożliwia wyszukiwanie w dowolnym obiekcie i atrybucie w bazie danych
- Użycie projektanta metaverse umożliwia wyświetlanie importu i pierwszeństwa przepływu atrybutów.
- Otwieranie klienta usługi synchronizacji
Po znalezieniu obiektu kliknięcie obiektu spowoduje otwarcie strony profilu użytkownika. Szczegóły obiektu zawierają szczegółowe informacje o obiekcie, jego atrybutach, ostatniej modyfikacji i źródle urzędu oraz powiązanym połączonym źródle danych pochodzącym z konfiguracji agenta zarządzania poniżej.
Usługa i portal / PAM
Jeśli masz wystąpienie usługi i portalu lub usługi PAM zainstalowane, aby móc wyszukiwać użytkowników, jest ważne.
Jeśli zainstalowano portal, możesz użyć interfejsu użytkownika, aby wyszukać dowolny atrybut lub zapytanie dla określonego użytkownika.
Jeśli masz zainstalowany tylko serwer usługi (bez interfejsu użytkownika portalu), możesz uruchomić składnię wyszukiwania na podstawie [FIMAutomation PSSnapin], przykład można znaleźć tutaj.
Usługa PAM może używać tej samej składni powyżej lub użyć modułu MIMPAM , w szczególności polecenia cmdlet get-pamuser, aby wyszukać użytkownika w środowisku PAM.
Inne opcje raportowania do wyszukiwania dostępnych danych są dostępne w usłudze i portalu.
BHOLD
Usługa Bhold Core ma interfejs użytkownika, który umożliwia wyszukiwanie użytkownika lub atrybutów.
Jeśli synchronizujesz usługę BHOLD z łącznikiem zarządzania dostępem do usługi synchronizacji, zobaczysz połączone obiekty użytkownika i atrybuty wysyłane do rdzenia usługi BHOLD.
Możesz również załadować moduł raportowania BHOLD.
Zarządzanie certyfikatami
Wyszukiwanie usługi zarządzania certyfikatami jest wbudowane w interfejs użytkownika. Administrator uruchomi i wybierz pozycję "Znajdź użytkownika i wyświetl informacje lub zarządzaj nimi"
Eksportowanie danych osobowych
Ponieważ dane związane z jednostkami w programie MIM pochodzą z wielu źródeł, większość danych jest przechowywana w bazie danych usługi synchronizacji. Z tego powodu należy wyeksportować dane związane z obiektami z synchronizacji programu MIM lub określić właściciela tych danych.
Usługa synchronizacji
Usługi synchronizacji do eksportowania danych po prostu wybierają dane z interfejsu użytkownika wyszukiwania i kopiują i wklejają je w formacie csv lub preferowanym. Innym sposobem eksportowania tych danych jest utworzenie opartego na pliku narzędzia MA w celu upuszczania bieżących danych potrzebnych dla oflagowanego użytkownika. Przykład użycia narzędzia MA opartego na plikach można znaleźć tutaj.
Usługa i portal / PAM
Usługa i portal wraz z usługą PAM można wyeksportować te dane, uruchamiać składnię wyszukiwania na podstawie [FIMAutomation PSSnapin], przykład można znaleźć tutaj i przesłać potok do pliku CSV.
Usługa PAM może używać tej samej składni powyżej lub użyć modułu MIMPAM , w szczególności get-pamuser, aby wyszukać użytkownika w środowisku PAM i przesłać potok do pliku CSV.
BHOLD
Dane Bhold można wyeksportować przy użyciu modułu raportowania Bhold do preferowanego formatu.
Zarządzanie certyfikatami
Dane zarządzania certyfikatami związane z danymi osobowymi są połączone z usługą Active Directory. Administrator może wyeksportować te dane przy użyciu programu PowerShell usługi Active Directory.
Aktualizowanie danych osobowych
Dane osobowe dotyczące użytkowników lub obiektów w rozwiązaniach PROGRAMU MIM zwykle pochodzą z obiektu użytkownika w połączonych źródłach danych organizacji. Ponieważ wszelkie zmiany wprowadzone w profilu użytkownika w źródle kadr lub inny autorytatywny system rekordu, taki jak usługa AD, są następnie odzwierciedlane w usłudze synchronizacji programu MIM.
Usługa synchronizacji
Aby można było wykonywać operacje zarządzania, administratorzy muszą być częścią operacji synchronizacji lub administratorów zdefiniowanych tutaj.
Aktualizowanie danych odbywa się przez zdefiniowanie reguł ze źródła urzędu. Konsola zarządzania pomaga zidentyfikować źródło urzędu w celu zaktualizowania go w źródle. Inną opcją jest utworzenie reguły synchronizacji lub rozszerzenie reguły w celu kontrolowania aktualizowania danych, jeśli źródło, takie jak dane hr, nadal musi pozostać. Są to dostępne obsługiwane opcje.
Aby uzyskać więcej informacji na temat różnych sposobów aktualizowania atrybutu, zobacz poniżej.
Usługa i portal / PAM
Usługi i portal do uwzględnienia danych PAM można zaktualizować przy użyciu poleceń cmdlet FIMAutomation lub PAM. Jeśli masz portal, możesz również bezpośrednio zaktualizować, wyszukując i modyfikując obiekt. Należy pamiętać o jednej rzeczy i w zależności od konfiguracji po prostu zaktualizowanie z portalu nie oznacza, że pozostanie. Ponieważ źródło urzędu jest wysoce zależne od ogólnej konfiguracji.
BHOLD
Użytkownicy mogą być bezpośrednio aktualizowani za pomocą interfejsu użytkownika BHOLD Core lub łącznika zarządzania dostępem.
Zarządzanie certyfikatami
Użytkownicy w usłudze zarządzania certyfikatami są odzwierciedleniem usługi Active Directory. Aby zaktualizować szczegóły obiektu za pomocą usługi Active Directory.
Usuwanie danych osobowych
Uwaga
Ten artykuł zawiera wskazówki dotyczące sposobów usuwania danych osobowych z Microsoft Identity Manager i może służyć do wspierania zobowiązań wynikających z RODO. Jeśli szukasz ogólnych informacji o RODO, zobacz sekcję RODO w portalu zaufania usług.
Dane w programie MIM są synchronizowane i zawsze aktualizowane z połączonego źródła danych. Gdy obiekt jest usuwany w obiekcie docelowym, dane obiektu w programie MIM można przechowywać na potrzeby badania zabezpieczeń. Usuwanie obiektu jest konfigurowane dla połączonych reguł źródła danych lub reguł rozszerzenia reguły (kodu) i/lub reguł usuwania obiektów.
Usługa synchronizacji
Usługa synchronizacji na wiele sposobów obsługi danych lub usuwania danych w zależności od procesów biznesowych. Aby ułatwić zrozumienie, poniżej przedstawiono kilka artykułów ułatwiających zrozumienie opcji usuwania i aktualizowania atrybutów:
- Informacje na temat anulowania aprowizacji
- Używanie rozszerzeń reguł
- Najlepsze rozwiązania dotyczące programu MIM
Usługa i portal / PAM
Zaleca się, aby w portalu usługi & zachować domyślną konfigurację przechowywania zasobów systemowych przez 30 dni. Informuje to usługę, kiedy zostanie ona usunięta, nie tylko zażądaj danych, ale także każdego obiektu, który musi zostać wyczyszczone z systemu. Po zakończeniu procesu wszystkie dane połączone z tym obiektem zostaną usunięte, łącznie z wszystkimi danymi rejestracji samoobsługowego resetowania hasła. Jest to odtwarzane w powyższej konfiguracji usuwania obiektów. Mamy jedną tabelę, w której przechowujemy identyfikator GUID obiektów. Aby zmniejszyć ogólny rozmiar tabeli w kompilacji 4.4.1459, dodaliśmy proces o nazwie FIM_DeleteExpiredSystemObjectsJob szczegółowe informacje na temat tego procesu można znaleźć tutaj.
BHOLD
Usługa Bhold, podobnie jak większość systemów połączonych z usługą synchronizacji, można skonfigurować do usuwania po usunięciu obiektu źródłowego, takiego jak HR. Jest to skonfigurowane na agencie zarządzania. i kontrolowane przez reguły usuwania obiektów zgodnie z opisem w ramach funkcji usługi synchronizacji.
Inną opcją jest usunięcie obiektu użytkownika bezpośrednio z interfejsu użytkownika podstawowego pakietu BHOLD. W zależności od konfiguracji może to zadziałać, ale logika aprowizacji może zostać ponownie utworzona, jeśli nie zostanie usunięta w źródle.
Zarządzanie certyfikatami
Aby usunąć użytkownika z konsoli zarządzania certyfikatami, usuń użytkownika w usłudze Active Directory.
Zarządzanie certyfikatami, ponieważ będzie przechowywać tylko identyfikator uid profilu z usług certyfikatów z domeną sAMAccountName. Po usunięciu użytkownika z usługi AD pamięć podręczna użytkownika jest obecna tylko dla certyfikatów, które zostały zarejestrowane. Nie zalecamy usuwania niczego w bazie danych, ponieważ może to spowodować ogólną szkodę dla działania środowiska.
Rezygnacja z telemetrii
Poprzednia kompilacja programu FIM/MIM używanego do zbierania anonimowych danych telemetrycznych dotyczących każdego wdrożenia i przesyłania tych danych za pośrednictwem protokołu HTTPS do serwerów firmy Microsoft. Te dane były używane przez firmę Microsoft do ulepszania przyszłych wersji programu FIM/MIM w przeszłości.
Uwaga
W nowszych wersjach wersji 4.5.x.x lub nowszej zbieranie danych zostanie wyłączone.
Aby wyłączyć zbieranie danych w trybie zmiany poprzedniej wersji i usunąć zaznaczenie następującego monitu:
lub zmodyfikuj rejestr i ustaw wartość 0: (Component)CEIP HKLM\SOFTWARE\Microsoft\Forefront Identity Manager\2010
