Migrando cenários de gerenciamento de identidade e acesso para o Microsoft Entra a partir do Microsoft Identity Manager

O Microsoft Identity Manager é o produto de gerenciamento de identidade e acesso hospedado localmente pela Microsoft. É baseado em tecnologia introduzida em 2003, continuamente melhorada até hoje, e suportado juntamente com os serviços de nuvem Microsoft Entra. O MIM tem sido uma parte central de muitas estratégias de gerenciamento de identidade e acesso, aumentando os serviços hospedados na nuvem do Microsoft Entra ID e outros agentes locais.

Muitos clientes expressaram interesse em mover o centro de seus cenários de gerenciamento de identidade e acesso inteiramente para a nuvem. Alguns clientes não terão mais um ambiente local, enquanto outros integram o gerenciamento de identidade e acesso hospedado na nuvem com seus aplicativos, diretórios e bancos de dados locais restantes. Este documento fornece orientação sobre opções e abordagens de migração para mover cenários de Gerenciamento de Identidade e Acesso (IAM) do Microsoft Identity Manager para serviços hospedados na nuvem do Microsoft Entra e será atualizado à medida que novos cenários forem disponibilizados para migração. Orientações semelhantes estão disponíveis para a migração de outras tecnologias de gerenciamento de identidades locais, incluindo a migração do ADFS.

Descrição geral da migração

A MIM implementou as melhores práticas de gestão de identidade e acesso no momento da sua conceção. Desde então, o cenário de gerenciamento de identidade e acesso evoluiu com novos aplicativos e novas prioridades de negócios e, portanto, as abordagens recomendadas para lidar com casos de uso do IAM serão, em muitos casos, diferentes hoje do que as recomendadas anteriormente com o MIM.

Além disso, as organizações devem planejar uma abordagem em estágios para a migração de cenários. Por exemplo, uma organização pode priorizar a migração de um cenário de redefinição de senha de autoatendimento do usuário final como uma etapa e, quando isso for concluído, mover um cenário de provisionamento. A ordem na qual uma organização escolhe mover seus cenários dependerá de suas prioridades gerais de TI e do impacto sobre outras partes interessadas, como usuários finais que precisam de uma atualização de treinamento ou proprietários de aplicativos.

Cenário do IAM no MIM	Link para obter mais informações sobre o cenário do IAM no Microsoft Entra
Provisionamento a partir de fontes SAP HR	trazer identidades do SAP HR para o Microsoft Entra ID
Provisionamento a partir do Workday e de outras fontes de RH na nuvem	provisionamento de sistemas de RH na nuvem para o Microsoft Entra ID com fluxos de trabalho do ciclo de vida de ingresso/saída
Provisionamento de outras fontes de RH locais	provisionamento a partir de sistemas de RH locais com fluxos de trabalho do ciclo de vida de entrada/saída
Provisionamento para aplicativos locais não baseados em AD	provisionamento de usuários do Microsoft Entra ID para aplicativos locais
Gerenciamento de lista de endereços global (GAL) para organizações distribuídas	sincronização de usuários de um locatário do Microsoft Entra ID para outro
Grupos de segurança do AD	governar aplicativos locais baseados no Ative Directory (Kerberos) usando o Microsoft Entra ID Governance
Grupos dinâmicos	grupo de segurança Microsoft Entra ID baseado em regras e associações de grupo do Microsoft 365
Gestão de grupos self-service	grupo de segurança de autoatendimento Microsoft Entra ID, grupos do Microsoft 365 e criação e gerenciamento de associação do Teams
Gestão de palavras-passe personalizada	redefinição de senha de autoatendimento com write-back para AD
Forte gerenciamento de credenciais	autenticação sem senha para Microsoft Entra ID
Auditoria e relatórios históricos	arquivar logs para gerar relatórios sobre as atividades de Governança do Microsoft Entra ID e do Microsoft Entra ID com o Azure Monitor
Gestão de acesso privilegiado	protegendo o acesso privilegiado para implantações híbridas e em nuvem no Microsoft Entra ID
Gerenciamento de acesso baseado em função de negócios	governar o acesso migrando um modelo de função organizacional para o Microsoft Entra ID Governance
Atestado	Revisões de acesso para associações de grupo, atribuições de aplicativos, pacotes de acesso e funções

Aprovisionamento de utilizadores

O provisionamento de usuários está no centro do que o MIM faz. Seja AD ou outras fontes de RH, importar usuários, agregá-los no metaverso e, em seguida, provisioná-los para diferentes repositórios é uma de suas principais funções. O diagrama abaixo ilustra um cenário clássico de provisionamento/sincronização.

Agora, muitos desses cenários de provisionamento de usuários estão disponíveis usando o Microsoft Entra ID e ofertas relacionadas, que permitem migrar esses cenários do MIM para gerenciar contas nesses aplicativos a partir da nuvem.

As seções a seguir descrevem os vários cenários de provisionamento.

Provisionamento de sistemas de RH na nuvem para o Ative Directory ou Microsoft Entra ID com fluxos de trabalho de entrada/saída

Se você deseja provisionar diretamente da nuvem para o Ative Directory ou o Microsoft Entra ID, isso pode ser feito usando integrações internas ao Microsoft Entra ID. Os tutoriais a seguir fornecem orientação sobre o provisionamento diretamente da sua fonte de RH para o AD ou Microsoft Entra ID.

• Tutorial: Configurar o Workday para o aprovisionamento automático de utilizadores
• Tutorial: Configurar o Workday para o provisionamento de usuários do Microsoft Entra

Muitos dos cenários de RH na nuvem também envolvem o uso de fluxos de trabalho automatizados. Algumas dessas atividades de fluxo de trabalho que foram desenvolvidas usando a Biblioteca de Atividades de Fluxo de Trabalho para MIM podem ser migradas para fluxos de trabalho do Ciclo de Vida de Governança de ID da Microsoft. Muitos desses cenários do mundo real agora podem ser criados e gerenciados diretamente da nuvem. Para obter mais informações, veja a seguinte documentação.

• O que são fluxos de trabalho do ciclo de vida?
• Automatize a integração de funcionários
• Automatize o desembarque de funcionários

Provisionamento de usuários de sistemas de RH locais para o Microsoft Entra ID com fluxos de trabalho de ingresso/saída

Os clientes que usam o SAP Human Capital Management (HCM) e têm o SAP SuccessFactors podem trazer identidades para o Microsoft Entra ID usando o SAP Integration Suite para sincronizar listas de trabalhadores entre o SAP HCM e o SAP SuccessFactors. A partir daí, você pode trazer identidades diretamente para o ID do Microsoft Entra ou provisioná-las nos Serviços de Domínio Ative Directory.

Usando o provisionamento de entrada orientado por API, agora é possível provisionar usuários diretamente para o Microsoft Entra ID a partir do seu sistema de RH local. Se você estiver usando um MIM para importar usuários de um sistema de RH e, em seguida, provisioná-los para o Microsoft Entra ID, agora você pode usar a criação de um conector de provisionamento de entrada personalizado controlado por API para fazer isso. A vantagem de usar o conector de provisionamento controlado por API para conseguir isso sobre o MIM, é que o conector de provisionamento controlado por API tem muito menos sobrecarga e muito menos espaço ocupado localmente, quando comparado com o MIM. Além disso, com o conector de provisionamento controlado por API, ele pode ser gerenciado a partir da nuvem. Consulte o seguinte para obter mais informações sobre provisionamento controlado por API.

• Conceitos de provisionamento de entrada orientados por API
• Permitir que os integradores de sistemas construam mais conectores para sistemas de registro
• Configurar aplicativo de provisionamento de entrada controlado por API

Eles também podem aproveitar os fluxos de trabalho do ciclo de vida.

• O que são fluxos de trabalho do ciclo de vida?
• Automatize a integração de funcionários
• Automatize o desembarque de funcionários

Provisionamento de usuários do Microsoft Entra ID para aplicativos locais

Se você estiver usando o MIM para provisionar usuários para aplicativos como SAP ECC, para aplicativos que têm uma API SOAP ou REST ou para aplicativos com um banco de dados SQL subjacente ou diretório LDAP não AD, agora você pode usar o provisionamento de aplicativos locais por meio do ECMA Connector Host para realizar as mesmas tarefas. O ECMA Connector Host faz parte de um agente leve e permite reduzir a pegada do MIM. Se você tiver conectores personalizados em seu ambiente MIM, poderá migrar sua configuração para o agente. Para obter mais informações, consulte a documentação abaixo.

• Arquitetura de aplicativo de provisionamento local
• Provisionamento de usuários para aplicativos habilitados para SCIM
• Provisionando usuários em aplicativos baseados em SQL
• Provisionando usuários em diretórios LDAP
• Provisionando usuários em um diretório LDAP para autenticação Linux
• Provisionando usuários em aplicativos usando o PowerShell
• Provisionamento com o conector de serviços Web
• Provisionamento com os conectores personalizados

Provisionar usuários para aplicativos SaaS na nuvem

A integração com aplicações SaaS é necessária no mundo da computação em nuvem. Muitos dos cenários de provisionamento que o MIM estava executando para aplicativos SaaS agora podem ser feitos diretamente do Microsoft Entra ID. Quando configurado, o Microsoft Entra ID provisiona e desprovisiona automaticamente os usuários para aplicativos SaaS usando o serviço de provisionamento do Microsoft Entra. Para obter uma lista completa dos tutoriais do aplicativo SaaS, consulte o link abaixo.

• Tutoriais para integração com aplicativos SaaS

Provisionar usuários e grupos para novos aplicativos personalizados

Se sua organização estiver criando novos aplicativos e exigir o recebimento de informações ou sinais de usuários ou grupos quando os usuários forem atualizados ou excluídos, recomendamos que o aplicativo use o Microsoft Graph para consultar a ID do Microsoft Entra ou use o SCIM para ser provisionado automaticamente.

• Usando a API do Microsoft Graph
• Desenvolver e planejar o provisionamento para um ponto de extremidade SCIM no Microsoft Entra ID
• Provisionando usuários para aplicativos habilitados para SCIM que estão no local

Cenários de gerenciamento de grupo

Historicamente, as organizações usavam o MIM para gerenciar grupos no AD, incluindo grupos de segurança do AD e DLs do Exchange, que eram sincronizados por meio do Microsoft Entra Connect com o Microsoft Entra ID e o Exchange Online. As organizações agora podem gerenciar grupos de segurança no Microsoft Entra ID e no Exchange Online, sem exigir que os grupos sejam criados no Ative Directory local.

Grupos dinâmicos

Se você estiver usando o MIM para associação a grupos dinâmicos, esses grupos poderão ser migrados para grupos dinâmicos do Microsoft Entra ID. Com regras baseadas em atributos, os usuários são automaticamente adicionados ou removidos com base nesses critérios. Para obter mais informações, veja a seguinte documentação.

• Criar ou atualizar um grupo dinâmico no Microsoft Entra ID

Disponibilizando grupos para aplicativos baseados em AD

O gerenciamento de aplicativos locais com grupos do Ative Directory que são provisionados e gerenciados na nuvem usada agora pode ser realizado com a sincronização na nuvem do Microsoft Entra. Agora, a sincronização na nuvem do Microsoft Entra permite que você controle totalmente as atribuições de aplicativos no AD enquanto aproveita os recursos de Governança de ID do Microsoft Entra para controlar e corrigir quaisquer solicitações relacionadas ao acesso.

Para obter mais informações, consulte Governar aplicativos locais baseados no Ative Directory (Kerberos) usando a Governança de ID do Microsoft Entra.

Cenários de autoatendimento

O MIM também tem sido usado em cenários de autoatendimento para gerenciar dados no Ative Directory, para uso por aplicativos integrados ao Exchange e ao AD. Agora, muitos desses mesmos cenários podem ser realizados a partir da nuvem.

Gestão de grupos self-service

Você pode permitir que os usuários criem grupos de segurança ou grupos/equipes do Microsoft 365 e, em seguida, gerenciem a associação de seus grupos.

• Cenários de gerenciamento de grupo de autoatendimento

Solicitações de acesso com aprovações em vários estágios

A gestão de direitos introduz o conceito de pacote de acesso. Um pacote de acesso é um pacote de todos os recursos com o acesso de que um usuário precisa para trabalhar em um projeto ou executar sua tarefa, incluindo associação a grupos, sites do SharePoint Online ou atribuição a funções de aplicativo. Cada pacote de acesso inclui políticas que especificam quem obtém acesso automaticamente e quem pode solicitar acesso.

• O que é a gestão de direitos?

Reposição personalizada de palavra-passe

A redefinição de senha de autoatendimento (SSPR) do Microsoft Entra oferece aos usuários a capacidade de alterar ou redefinir sua senha. Se você tiver um ambiente híbrido, poderá configurar o Microsoft Entra Connect para gravar eventos de alteração de senha de volta da ID do Microsoft Entra para um Ative Directory local.

• Reposição personalizada de palavras-passe

Passos Seguintes

• Guias de arquitetura de identidade
• Recursos para gerenciar aplicativos para o Microsoft Entra ID
• Migrar aplicativos ADFS.