Migrando cenários de Gerenciamento de Identidade e Acesso para Microsoft Entra de Microsoft Identity Manager

Microsoft Identity Manager é o produto de gerenciamento de identidade e acesso hospedado localmente da Microsoft. Ele é baseado na tecnologia introduzida em 2003, continuamente aprimorada até hoje e com suporte junto com Microsoft Entra serviços de nuvem. O MIM tem sido uma parte fundamental de muitas estratégias de gerenciamento de identidade e acesso, aumentando os serviços hospedados na nuvem da Microsoft Entra ID e outros agentes locais.

Muitos clientes manifestaram interesse em mover o centro de seus cenários de gerenciamento de identidade e acesso inteiramente para a nuvem. Alguns clientes não terão mais um ambiente local, enquanto outros integram a identidade hospedada na nuvem e o gerenciamento de acesso com seus aplicativos, diretórios e bancos de dados locais restantes. Este documento fornece diretrizes sobre opções de migração e abordagens para mover cenários de Gerenciamento de Identidade e Acesso (IAM) de Microsoft Identity Manager para Microsoft Entra serviços hospedados na nuvem e será atualizado à medida que novos cenários se tornarem disponíveis para migração. Diretrizes semelhantes estão disponíveis para migração de outras tecnologias locais de gerenciamento de identidade, incluindo a migração do ADFS.

Visão geral da migração

O MIM implementou as práticas recomendadas de gerenciamento de identidade e acesso no momento de seu design. Desde então, o cenário de gerenciamento de identidades e acesso evoluiu com novos aplicativos e novas prioridades de negócios e, portanto, as abordagens recomendadas para lidar com casos de uso do IAM serão, em muitos casos, diferentes das recomendadas anteriormente com o MIM.

Além disso, as organizações devem planejar uma abordagem preparada para a migração de cenário. Por exemplo, uma organização pode priorizar a migração de um cenário de redefinição de senha de autoatendimento do usuário final como uma etapa e, depois disso, mover um cenário de provisionamento. A ordem na qual uma organização opta por mover seus cenários dependerá de suas prioridades gerais de TI e do impacto sobre outros stakeholders, como usuários finais que precisam de uma atualização de treinamento ou proprietários de aplicativos.

Cenário de IAM no MIM	Link para obter mais informações sobre o cenário de IAM no Microsoft Entra
Provisionamento de fontes de RH do SAP	trazer identidades do SAP HR para Microsoft Entra ID
Provisionamento do Workday e de outras fontes de RH na nuvem	provisionamento de sistemas de RH de nuvem para Microsoft Entra ID com fluxos de trabalho de ciclo de vida de junção/saída
Provisionamento de outras fontes de RH locais	provisionamento de sistemas de RH locais com fluxos de trabalho de ciclo de vida de junção/saída
Provisionamento para aplicativos locais não baseados no AD	provisionando usuários de Microsoft Entra ID para aplicativos locais
Gerenciamento de GAL (lista de endereços global) para organizações distribuídas	sincronização de usuários de um locatário Microsoft Entra ID para outro
Grupos de segurança do AD	controlar aplicativos baseados em Active Directory local (Kerberos) usando Microsoft Entra ID Governance (versão prévia)
Grupos dinâmicos	Grupo de segurança de Microsoft Entra ID baseado em regras e associações de grupo do Microsoft 365
Gerenciamento de grupo de autoatendimento	autoatendimento Microsoft Entra ID grupo de segurança, grupos do Microsoft 365 e gerenciamento de criação e associação do Teams
Gerenciamento de senhas de autoatendimento	redefinição de senha de autoatendimento com write-back no AD
Gerenciamento de credenciais fortes	Autenticação sem senha para Microsoft Entra ID
Auditoria e relatórios históricos	arquivar logs para relatórios sobre atividades de Microsoft Entra ID e Microsoft Entra ID Governance com o Azure Monitor
Gerenciamento de acesso privilegiado	protegendo o acesso privilegiado para implantações híbridas e de nuvem no Microsoft Entra ID
Gerenciamento de acesso baseado em função empresarial	controlar o acesso migrando um modelo de função organizacional para Microsoft Entra ID Governance
Atestado	revisões de acesso para associações de grupo, atribuições de aplicativo, pacotes de acesso e funções

Provisionamento do usuário

O provisionamento de usuários está no centro do que o MIM faz. Seja o AD ou outras fontes de RH, importando usuários, agregando-os no metaverso e provisionando-os em repositórios diferentes é uma de suas principais funções. O diagrama a seguir ilustra um cenário clássico de provisionamento/sincronização.

Agora, muitos desses cenários de provisionamento de usuário estão disponíveis usando Microsoft Entra ID e ofertas relacionadas, que permitem migrar esses cenários do MIM para gerenciar contas nesses aplicativos da nuvem.

As seções a seguir descrevem os vários cenários de provisionamento.

Provisionamento de sistemas de RH de nuvem para o Active Directory ou Microsoft Entra ID com fluxos de trabalho de ingresso/saída

Se você quiser provisionar diretamente da nuvem no para o Active Directory ou Microsoft Entra ID, isso pode ser feito usando integrações internas para Microsoft Entra ID. Os tutoriais a seguir fornecem diretrizes sobre o provisionamento diretamente da fonte de RH no AD ou Microsoft Entra ID.

• Tutorial: Configurar o Workday para provisionamento automático do usuário
• Tutorial: configurar o provisionamento de usuários do Workday para o Microsoft Entra

Muitos dos cenários de RH na nuvem também envolvem o uso de fluxos de trabalho automatizados. Algumas dessas atividades de fluxo de trabalho que foram desenvolvidas usando a Biblioteca de Atividades de Fluxo de Trabalho para MIM podem ser migradas para fluxos de trabalho do Ciclo de Vida da Governança de ID da Microsoft. Muitos desses cenários do mundo real agora podem ser criados e gerenciados diretamente da nuvem. Para saber mais, confira a seguinte documentação.

• O que são fluxos de trabalho do ciclo de vida?
• Automatizar o embarque de funcionários
• Automatizar a remoção de funcionários

Provisionando usuários de sistemas de RH locais para Microsoft Entra ID com fluxos de trabalho de ingresso/saída

Usando o provisionamento de entrada controlado por API, agora é possível provisionar usuários diretamente para Microsoft Entra ID do sistema de RH local. Se você estiver usando um MIM para importar usuários de um sistema de RH e provisioná-los para Microsoft Entra ID, agora você pode usar o build de um conector de provisionamento de entrada personalizado controlado por API para fazer isso. A vantagem de usar o conector de provisionamento controlado por API para conseguir isso em relação ao MIM é que o conector de provisionamento controlado por API tem muito menos sobrecarga e um volume local muito menor, quando comparado com o MIM. Além disso, com o conector de provisionamento controlado por API, ele pode ser gerenciado na nuvem. Consulte o seguinte para obter mais informações sobre o provisionamento controlado por API.

• Conceitos do provisionamento de entrada controlado por API
• Habilitar integradores do sistema para criar mais conectores para sistemas de registro
• Configurar aplicativo de provisionamento de entrada orientado por API

Eles também podem aproveitar os fluxos de trabalho do ciclo de vida.

• O que são fluxos de trabalho do ciclo de vida?
• Automatizar o embarque de funcionários
• Automatizar a remoção de funcionários

Provisionando usuários de Microsoft Entra ID para aplicativos locais

Se você estiver usando o MIM para provisionar usuários para aplicativos como SQL ou LDAP, agora você pode usar o provisionamento de aplicativo local por meio do Host do Conector ECMA para realizar as mesmas tarefas. O Host do Conector ECMA faz parte de um agente leve e permite reduzir o volume do MIM. Para obter mais informações, consulte a documentação abaixo.

• Arquitetura do aplicativo de provisionamento local
• Provisionando usuários para aplicativos habilitados para SCIM
• Provisionando de usuários em aplicativos SQL baseados em aplicativos
• Provisionando usuários em diretórios LDAP
• Provisionando usuários em um diretório LDAP para autenticação do Linux
• Provisionando usuários em aplicativos usando o PowerShell
• Provisionamento com o conector de serviços Web
• Provisionamento com conectores personalizados

Provisionar usuários para aplicativos SaaS na nuvem

A integração com aplicativos SaaS é necessária no mundo da computação em nuvem. Muitos dos cenários de provisionamento que o MIM estava executando em aplicativos SaaS agora podem ser feitos diretamente de Microsoft Entra ID. Quando configurado, Microsoft Entra ID provisiona e desprovisiona automaticamente os usuários para aplicativos SaaS usando o serviço de provisionamento de Microsoft Entra. Para obter uma lista completa de tutoriais de aplicativo SaaS, consulte o link abaixo.

• Tutoriais para integração com aplicativos SaaS

Provisionar usuários e grupos para novos aplicativos personalizados

Se sua organização estiver criando novos aplicativos e exigir o recebimento de informações ou sinais de usuário ou grupo quando os usuários forem atualizados ou excluídos, recomendamos que o aplicativo use o Microsoft Graph para consultar Microsoft Entra ID ou use o SCIM para ser provisionado automaticamente.

• Como usar a API do Microsoft Graph
• Desenvolver e planejar o provisionamento para um ponto de extremidade SCIM no Microsoft Entra ID
• Provisionando usuários para aplicativos habilitados para SCIM que são locais

Cenários de gerenciamento de grupo

Historicamente, as organizações usavam o MIM para gerenciar grupos no AD, incluindo grupos de segurança do AD e DLs do Exchange, que foram sincronizados por meio do Microsoft Entra Connect para Microsoft Entra ID e Exchange Online. As organizações agora podem gerenciar grupos de segurança em Microsoft Entra ID e Exchange Online, sem exigir que os grupos sejam criados em Active Directory local.

Grupos dinâmicos

Se você estiver usando o MIM para associação dinâmica de grupo, esses grupos poderão ser migrados para serem Microsoft Entra ID Grupos dinâmicos. Com regras baseadas em atributo, os usuários são adicionados ou removidos automaticamente com base nesses critérios. Para saber mais, confira a seguinte documentação.

• Criar ou atualizar um grupo dinâmico no Microsoft Entra ID

Disponibilizando grupos para aplicativos baseados em AD

O gerenciamento de aplicativos locais com grupos do Active Directory provisionados e gerenciados na nuvem usada agora pode ser realizado com Microsoft Entra sincronização de nuvem. Agora Microsoft Entra sincronização de nuvem permite controlar totalmente as atribuições de aplicativos no AD, aproveitando Microsoft Entra ID Governance recursos para controlar e corrigir quaisquer solicitações relacionadas ao acesso.

Para obter mais informações, consulte Controlar aplicativos baseados em Active Directory local (Kerberos) usando Microsoft Entra ID Governance (versão prévia).

Cenários de autoatendimento

O MIM também tem sido usado em cenários de autoatendimento para gerenciar dados no Active Directory, para uso por aplicativos integrados ao Exchange e ao AD. Agora, muitos desses mesmos cenários podem ser realizados na nuvem.

Gerenciamento de grupo de autoatendimento

Você pode permitir que os usuários criem grupos de segurança ou grupos/Equipes do Microsoft 365 e, em seguida, gerenciem a associação de seu grupo.

• Cenários de gerenciamento de grupos de autoatendimento

Solicitações de acesso com aprovações de vários estágios

O gerenciamento de direitos introduz o conceito de um pacote de acesso . Um pacote de acesso é um pacote de todos os recursos com o acesso que um usuário precisa para trabalhar em um projeto ou executar sua tarefa, incluindo associação de grupos, sites do SharePoint Online ou atribuição a funções de aplicativo. Cada pacote de acesso inclui políticas que especificam quem obtém acesso automaticamente e quem pode solicitar acesso.

• O que é gerenciamento de direitos?

Redefinição de senha de autoatendimento

Microsoft Entra SSPR (redefinição de senha de autoatendimento) oferece aos usuários a capacidade de alterar ou redefinir sua senha. Se você tiver um ambiente híbrido, poderá configurar Microsoft Entra Conectar para gravar eventos de alteração de senha de Microsoft Entra ID para um Active Directory local.

• Redefinição de senha de autoatendimento

Próximas etapas

• Guias de arquitetura de identidade
• Recursos para gerenciar aplicativos para Microsoft Entra ID
• Migrar aplicativos do ADFS.