Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo irá fornecer orientações sobre como as organizações podem tomar decisões que podem ser aplicadas em muitas origens de dados ligadas. Isto pode ser conseguido através das operações de pesquisa, eliminação, atualização e relatório. Antes de decidir a sua abordagem de eliminação ou atualização, é fundamental compreender a conceção e configuração atuais do seu sistema de gestor de identidades (MIM).
Seguem-se alguns cenários que os clientes terão de considerar e responder às seguintes perguntas:
- De que dados precisa para a gestão de identidades ajudar no processo de negócio?
- Onde é que os dados atuais serão armazenados no MIM?
- Como utilizará estes dados no sistema?
- Está a partilhar estes dados com quaisquer origens de dados de parceiros externos (A exportar)
- Qual é a origem autoritativa para os dados e o processamento dos mesmos?
- Qual será o plano de retenção de dados e eliminação de dados?
- Identificou toda a tecnologia de que precisa para processar e gerir dados?
Para o ajudar a compreender um ambiente do MIM atual, pode utilizar a seguinte ferramenta para documentar o seu ambiente do MIM ou diferir para os seus documentos de conceção de implementação.
Procurar e identificar dados pessoais
A pesquisa de dados no MIM irá depender da configuração e da configuração. A maioria dos ambientes está interligada, mas para maior clareza, partimo-los por um componente de alto nível.
Serviço de Sincronização
Todos os dados no MIM relacionados com os utilizadores são derivados de origens de Dados do Active Directory (AD) e de RH. Ao procurar dados pessoais, o primeiro local onde deve considerar procurar é o AD ou origens de dados ligadas.
Se não tiver a certeza de que a origem da autoridade pode controlar este utilizador a partir da consola de Service Manager de Sincronização do MIM, clique na barra de Pesquisa do Metaverso para ver os dados pessoais identificáveis armazenados na base de dados. Os utilizadores podem procurar um utilizador ou atributo específico.
- Para efetuar uma revisão ou pesquisa de dados de objetos de utilizador
- Abrir o cliente do serviço de sincronização
- A utilização do estruturador de metaversos permite-lhe ver importações e precedência do fluxo de atributos.
- A utilização da pesquisa de metaverso permite-lhe procurar em qualquer objeto e atributo na base
- A utilização do estruturador de metaversos permite-lhe ver importações e precedência do fluxo de atributos.
- Abrir o cliente do serviço de sincronização
Depois de localizar o objeto, clicar no objeto abrirá a página de perfil de utilizador. Os detalhes do objeto fornecem-lhe os detalhes abrangentes sobre o objeto, os respetivos atributos, a última modificação e a origem da autoridade e a origem de dados ligada relacionada derivada do exemplo de configuração do agente de gestão abaixo.
Serviço e Portal/PAM
Se tiver uma instância do Serviço e portal ou PAM instalada, é importante procurar utilizadores.
Se instalou o Portal, pode utilizar a IU para procurar em qualquer atributo ou consulta para um determinado utilizador.
Se tiver apenas o servidor de serviço (sem IU do Portal) instalado, pode executar uma sintaxe de pesquisa com base no [FIMAutomation PSSnapin], exemplo encontrado aqui.
O PAM pode utilizar a mesma sintaxe acima ou pode utilizar o Módulo MIMPAM especificamente o cmdlet get-pamuser para procurar o utilizador no ambiente de PAM.
Outras opções de relatórios para procurar dados disponíveis estão no serviço e no portal.
BHOLD
O serviço Bhold Core tem uma IU que lhe permite procurar um utilizador ou atributos.
Se estiver a sincronizar o BHOLD com o conector de gestão de acesso para o serviço de sincronização, poderá ver os objetos de utilizador ligados e os atributos que está a enviar para o BHOLD Core.
Também pode carregar o módulo BHOLD Reporting.
Gestão de Certificados
A pesquisa do serviço de gestão de certificados está incorporada na IU. O administrador irá iniciar e selecionar "Localizar utilizador e ver ou gerir as respetivas informações"
Exportar dados pessoais
Uma vez que os dados relacionados com entidades no MIM são derivados de múltiplas origens, a maioria dos dados é armazenada na base de dados do Serviço de Sincronização. Por este motivo, deve exportar dados relacionados com objetos da Sincronização do MIM ou pode determinar o proprietário destes dados.
Serviço de Sincronização
Os serviços de sincronização para exportar dados simplesmente selecionam os dados da IU de pesquisa e copiam e colam num formato csv ou preferencial. Outra forma de exportar estes dados é criar um MA baseado em Ficheiros para remover os dados atuais necessários sobre um utilizador sinalizado de interesse. Pode encontrar um exemplo de utilização do MA baseado em ficheiros aqui.
Serviço e Portal/PAM
O serviço e o portal, juntamente com o PAM, pode exportar estes dados para executar uma sintaxe de pesquisa com base no [FIMAutomation PSSnapin], Exemplo encontrado aqui e encaminhá-lo para csv.
O PAM pode utilizar a mesma sintaxe acima ou pode utilizar o Módulo MIMPAM especificamente o get-pamuser para procurar o utilizador no ambiente de PAM e encaminhá-lo para um csv.
BHOLD
Os dados do Bhold podem ser exportados com o módulo Bhold reporting para o seu formato preferido.
Gestão de Certificados
Os dados de gestão de certificados relacionados com dados pessoais estão ligados ao active directory. Um administrador pode exportar estes dados com o PowerShell do Active Directory.
Atualizar dados pessoais
Normalmente, os dados pessoais sobre utilizadores ou objetos em Soluções MIM derivam do objeto do utilizador nas origens de dados ligadas da sua organização. Uma vez que quaisquer alterações efetuadas ao perfil de utilizador na origem de RH ou noutro sistema de registo autoritativo, como o AD, são refletidas no Serviço de Sincronização do MIM.
Serviço de Sincronização
Para efetuar operações de gestão, os administradores têm de fazer parte das operações de sincronização ou do administrador definidos aqui.
A atualização de dados é feita ao definir regras da origem da autoridade. A consola de gestão ajuda a identificar a origem da autoridade para atualizá-la na origem. Outra opção é criar uma regra de sincronização ou extensão de regra para controlar a atualização de dados se a origem, como os dados de RH, ainda precisar de permanecer. Estas são opções suportadas disponíveis.
Para obter mais informações sobre diferentes formas de atualizar o atributo, veja abaixo.
Serviço e Portal/PAM
O Serviço e o Portal para incluir dados de PAM podem ser atualizados com os cmdlets FIMAutomation ou PAM. Se tiver o Portal, também pode atualizar diretamente ao procurar e modificar o objeto. Uma coisa a ter em conta e, dependendo da configuração simplesmente atualizar a partir do portal, não significa que permaneça. Uma vez que a origem da autoridade está altamente dependente da configuração geral.
BHOLD
Os utilizadores podem ser atualizados diretamente com a interface de utilizador BHOLD Core ou o conector de gestão de acesso.
Gestão de Certificados
Os utilizadores no serviço de gestão de certificados são todos uma reflexão do active directory. Para atualizar, utilize o Active Directory para alterar os detalhes do objeto.
Eliminar dados pessoais
Nota
Este artigo fornece orientações sobre formas de eliminar dados pessoais de Microsoft Identity Manager e pode ser utilizado para apoiar as suas obrigações ao abrigo do RGPD. Se estiver à procura de informações gerais sobre o GDPR, veja a secção GDPR do Portal de Confiança do Serviço.
Os dados no MIM são sincronizados e sempre atualizados a partir da respetiva origem de dados ligada. Quando um objeto é eliminado no destino, os dados do objeto no MIM podem ser mantidos para fins de investigação de segurança. A Eliminação de Objetos é configurada por regras de origem de dados ligadas ou regras de extensão(código) e/ou Eliminação de objetos.
Serviço de Sincronização
O Serviço de Sincronização tem várias formas de processar dados ou eliminar dados consoante os processos empresariais. Para ajudar a compreender, seguem-se alguns artigos para ajudar a compreender as opções de eliminação e atualização de atributos:
Serviço e Portal/PAM
É recomendado para o Portal do & de Serviço que mantenha a configuração de retenção de recursos do sistema predefinida de 30 dias. Isto indica ao serviço quando irá eliminar, não só pedir dados, mas também qualquer objeto que precise de ser limpo do sistema. Assim que o processo ocorrer, todos os dados ligados a este objeto são eliminados, incluindo todos os dados de registo SSPR. Esta ação é reproduzida na configuração de eliminação de objetos acima. Temos uma tabela onde armazenamos o guid dos objetos. Para reduzir o tamanho geral da tabela na compilação 4.4.1459, adicionámos um processo chamado FIM_DeleteExpiredSystemObjectsJob detalhes sobre este processo pode ser encontrado aqui.
BHOLD
O Bhold, tal como a maioria dos sistemas ligados ao serviço de sincronização, pode ser configurado para eliminar assim que o objeto de origem, como RH, for removido. Isto está configurado no agente de gestão. e controlado pelas regras de Eliminação de Objetos, conforme descrito nas funcionalidades do serviço de sincronizações.
Outra opção é remover o objeto de utilizador diretamente da interface de Utilizador BHOLD Core. Dependendo da configuração, isto pode funcionar corretamente, mas a lógica de aprovisionamento de notas pode recriar este utilizador se não for eliminado na origem.
Gestão de Certificados
Para remover um utilizador de CM, elimine o utilizador no active directory.
A gestão de certificados, uma vez que só irá armazenar o uid de perfil dos serviços de certificados com o domínio sAMAccountName. Depois de o utilizador ser eliminado do AD, a cache de utilizador só está presente para os certificados que inscreveu. Não recomendamos a eliminação de nada na base de dados, uma vez que isto pode causar danos gerais ao funcionamento do ambiente.
Optar ativamente por não participar na telemetria
As compilações anteriores fim/MIM utilizadas para recolher telemetria anonimizada sobre cada implementação e transmitem estes dados através de HTTPS para servidores Microsoft. Estes dados foram utilizados pela Microsoft para ajudar a melhorar versões futuras do FIM/MIM no passado.
Nota
Em versões posteriores da recolha de dados 4.5.x.x ou superior será desativada.
Para desativar a recolha de dados no modo de alteração da versão anterior, execute o modo de alteração e desselecione o seguinte pedido:
ou edite o registo e defina o valor como 0: (Componente)CEIP HKLM\SOFTWARE\Microsoft\Forefront Identity Manager\2010
