Kimlik ve Erişim Yönetimi senaryolarını Microsoft Identity Manager'dan Microsoft Entra geçirme

Microsoft Identity Manager, Microsoft'un şirket içinde barındırılan kimlik ve erişim yönetimi ürünüdür. 2003'te kullanıma sunulan teknolojiyi temel alır, bugün boyunca sürekli olarak iyileştirilir ve Microsoft Entra bulut hizmetleriyle birlikte desteklenir. MIM, Microsoft Entra ID bulutta barındırılan hizmetlerini ve diğer şirket içi aracılarını geliştiren birçok kimlik ve erişim yönetimi stratejisinin temel bir parçası olmuştur.

Birçok müşteri kimlik ve erişim yönetimi senaryolarının merkezini tamamen buluta taşımakla ilgilendiğini ifade etti. Bazı müşteriler artık şirket içi ortama sahip olmazken, diğerleri bulutta barındırılan kimliği ve erişim yönetimini kalan şirket içi uygulamaları, dizinleri ve veritabanlarıyla tümleştirir. Bu belge, Kimlik ve Erişim Yönetimi (IAM) senaryolarını Microsoft Identity Manager'dan bulutta barındırılan Microsoft Entra hizmetlere taşımaya yönelik geçiş seçenekleri ve yaklaşımları hakkında rehberlik sağlar ve yeni senaryolar geçirilmeye hazır hale geldikçe güncelleştirilecektir. AdFS'den geçiş de dahil olmak üzere diğer şirket içi kimlik yönetimi teknolojilerinin geçişinde de benzer yönergeler sağlanır.

Geçişe genel bakış

MIM, tasarımı sırasında kimlik ve erişim yönetimi için en iyi yöntemleri uygulamıştır. O zamandan beri kimlik ve erişim yönetimi ortamı yeni uygulamalar ve yeni iş öncelikleriyle gelişti ve bu nedenle IAM kullanım durumlarını ele almak için önerilen yaklaşımlar bugün daha önce MIM'de önerilen yaklaşımlardan farklı olacaktır.

Ayrıca kuruluşların senaryo geçişi için hazırlanmış bir yaklaşım planlamaları gerekir. Örneğin, bir kuruluş bir son kullanıcı self servis parola sıfırlama senaryosunu tek adım olarak geçirmeyi ve bu tamamlandıktan sonra sağlama senaryosunu taşımayı öncelik sırasına alabilir. Bir kuruluşun senaryolarını taşımayı seçme sırası, genel BT önceliklerine ve eğitim güncelleştirmesine ihtiyaç duyan son kullanıcılar veya uygulama sahipleri gibi diğer paydaşlar üzerindeki etkisine bağlıdır.

MIM'de IAM senaryosu	Microsoft Entra'de IAM senaryosu hakkında daha fazla bilgi için bağlantı
SAP İk kaynaklarından sağlama	KIMLIKleri SAP HR'den Microsoft Entra ID'a getirme
Workday ve diğer bulut İk kaynaklarından sağlama	katılma/bırakma yaşam döngüsü iş akışlarıyla bulut İk sistemlerinden Microsoft Entra ID sağlama
Diğer şirket içi İk kaynaklarından sağlama	katılma/bırakma yaşam döngüsü iş akışlarıyla şirket içi İk sistemlerinden sağlama
AD tabanlı olmayan şirket içi uygulamalara sağlama	kullanıcıları Microsoft Entra ID'dan şirket içi uygulamalara sağlama
Dağıtılmış kuruluşlar için genel adres listesi (GAL) yönetimi	kullanıcıların bir Microsoft Entra ID kiracıdan diğerine eşitlenmesi
AD güvenlik grupları	Microsoft Entra ID Yönetimi kullanarak şirket içi Active Directory tabanlı uygulamaları (Kerberos) yönetme (Önizleme)
Dinamik gruplar	kural tabanlı Microsoft Entra ID güvenlik grubu ve Microsoft 365 grup üyelikleri
Self servis grup yönetimi	self servis Microsoft Entra ID güvenlik grubu, Microsoft 365 grupları ve Teams oluşturma ve üyelik yönetimi
Self servis parola yönetimi	AD'ye geri yazma ile self servis parola sıfırlama
Güçlü kimlik bilgileri yönetimi	Microsoft Entra ID için parolasız kimlik doğrulaması
Geçmiş denetim ve raporlama	Azure İzleyici ile Microsoft Entra ID ve Microsoft Entra ID Yönetimi etkinlikleriyle ilgili raporlama için arşiv günlükleri
Ayrıcalıklı erişim yönetimi	Microsoft Entra ID'da karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama
İş rolü tabanlı erişim yönetimi	kuruluş rol modelini Microsoft Entra ID Yönetimi geçirerek erişimi idare etme
Kanıtlama	Grup üyelikleri, uygulama atamaları, erişim paketleri ve rolleri için erişim gözden geçirmeleri

Kullanıcı sağlama

Kullanıcı sağlama, MIM'in yaptığı şeyin merkezinde yer alır. AD veya diğer İk kaynakları, kullanıcıları içeri aktarmak, bunları meta veri deposunda toplamak ve sonra bunları farklı depolara sağlamak temel işlevlerinden biridir. Aşağıdaki diyagramda klasik sağlama / eşitleme senaryosu gösterilmektedir.

Artık bu kullanıcı sağlama senaryolarının birçoğu, Microsoft Entra ID ve ilgili teklifler kullanılarak kullanılabilir. Bu senaryolar, söz konusu uygulamalarda buluttan hesapları yönetmek için MIM'den geçirilebilir.

Aşağıdaki bölümlerde çeşitli sağlama senaryoları açıklanmaktadır.

Bulut İk sistemlerinden Active Directory'ye sağlama veya katılma/bırakma iş akışlarıyla Microsoft Entra ID

doğrudan buluttan Active Directory'ye veya Microsoft Entra ID sağlamak istediğinizde, bu işlem Microsoft Entra ID için yerleşik tümleştirmeler kullanılarak gerçekleştirilebilir. Aşağıdaki öğreticiler, doğrudan içindeki İk kaynağınızdan AD veya Microsoft Entra ID'a sağlama konusunda rehberlik sağlar.

• Öğretici: Workday’i otomatik kullanıcı hazırlama için yapılandırma
• Öğretici: Workday'i kullanıcı sağlamayı Microsoft Entra için yapılandırma

Bulut İk senaryolarının çoğu otomatik iş akışlarını da içerir. MIM için İş Akışı Etkinlik Kitaplığı kullanılarak geliştirilen bu iş akışı etkinliklerinden bazıları Microsoft Id İdare Yaşam Döngüsü iş akışlarına geçirilebilir. Bu gerçek dünya senaryolarının çoğu artık doğrudan buluttan oluşturulabilir ve yönetilebilir. Daha fazla bilgi için, aşağıdaki belgelere bakın.

• Yaşam döngüsü iş akışları nedir?
• Çalışan ekleme işlemini otomatikleştirme
• Çalışanların bindirilmesi işlemini otomatikleştirme

Şirket içi İk sistemlerindeki kullanıcıları katılma/bırakma iş akışlarıyla Microsoft Entra ID sağlama

API temelli gelen sağlamayı kullanarak artık kullanıcıları doğrudan şirket içi İk sisteminizden Microsoft Entra ID sağlamak mümkündür. Şu anda kullanıcıları bir İk sisteminden içeri aktarmak ve sonra Microsoft Entra ID sağlamak için MIM kullanıyorsanız, bunu gerçekleştirmek için özel API tabanlı gelen sağlama bağlayıcısı oluşturma özelliğini kullanabilirsiniz. BUNU MIM üzerinden gerçekleştirmek için API temelli sağlama bağlayıcısını kullanmanın avantajı, MIM ile karşılaştırıldığında API temelli sağlama bağlayıcısının şirket içinde çok daha az ek yüke ve çok daha küçük bir ayak izine sahip olmasıdır. Ayrıca API temelli sağlama bağlayıcısı ile buluttan yönetilebilir. API temelli sağlama hakkında daha fazla bilgi için aşağıdakilere bakın.

• API temelli gelen sağlama kavramları
• Sistem tümleştiricilerinin kayıt sistemlerine daha fazla bağlayıcı oluşturmasını sağlama
• API temelli gelen sağlama uygulamasını yapılandırma

Bunlar yaşam döngüsü iş akışlarından da yararlanabilir.

• Yaşam döngüsü iş akışları nedir?
• Çalışan ekleme işlemini otomatikleştirme
• Çalışanların bindirilmesi işlemini otomatikleştirme

kullanıcıları Microsoft Entra ID'dan şirket içi uygulamalara sağlama

SQL veya LDAP gibi uygulamalara kullanıcı sağlamak için MIM kullanıyorsanız, artık aynı görevleri gerçekleştirmek için ECMA Bağlayıcısı Konağı aracılığıyla şirket içi uygulama sağlamayı kullanabilirsiniz. ECMA Bağlayıcı Konağı, hafif bir aracının parçasıdır ve MIM ayak izinizi azaltmanıza olanak tanır. Daha fazla bilgi için aşağıdaki belgelere bakın.

• Şirket içi sağlama uygulaması mimarisi
• SCIM özellikli uygulamalara kullanıcı sağlama
• KULLANıCıLARı SQL tabanlı uygulamalara sağlama
• Kullanıcıları LDAP dizinlerine sağlama
• Linux kimlik doğrulaması için kullanıcıları LDAP dizinine sağlama
• PowerShell kullanarak kullanıcıları uygulamalara sağlama
• Web hizmetleri bağlayıcısı ile sağlama
• Özel bağlayıcılarla sağlama

Kullanıcıları bulut SaaS uygulamalarına sağlama

Bulut bilişim dünyasında SaaS uygulamalarıyla tümleştirme gereklidir. MIM'in SaaS uygulamalarına gerçekleştirdiği sağlama senaryolarının birçoğu artık doğrudan Microsoft Entra ID'dan gerçekleştirilebilir. yapılandırıldığında Microsoft Entra ID, Microsoft Entra sağlama hizmetini kullanarak saas uygulamalarına kullanıcıları otomatik olarak sağlar ve sağlamasını geri alır. SaaS uygulaması öğreticilerinin tam listesi için aşağıdaki bağlantıya bakın.

• SaaS uygulamalarıyla tümleştirme öğreticileri

Yeni özel uygulamalara kullanıcı ve grup sağlama

Kuruluşunuz yeni uygulamalar oluşturuyorsa ve kullanıcılar güncelleştirildiğinde veya silindiğinde kullanıcı veya grup bilgilerinin ya da sinyallerinin alınmasını gerektiriyorsa, uygulamanın Microsoft Entra ID sorgulamak için Microsoft Graph'ı veya otomatik olarak sağlanacak SCIM'yi kullanmasını öneririz.

• Microsoft Graph API kullanma
• Microsoft Entra ID'de bir SCIM uç noktası için sağlama geliştirme ve planlama
• Şirket içi SCIM özellikli uygulamalara kullanıcı sağlama

Grup yönetimi senaryoları

Geçmişte kuruluşlar, AD güvenlik grupları ve Exchange DLL'leri de dahil olmak üzere AD'deki grupları yönetmek için MIM'i kullanmıştı ve bunlar daha sonra Microsoft Entra ID ve Exchange Online bağlan Microsoft Entra eşitlendi. Kuruluşlar artık Microsoft Entra ID ve Exchange Online güvenlik gruplarını şirket içi Active Directory grup oluşturulmasına gerek kalmadan yönetebilir.

Dinamik gruplar

Dinamik grup üyeliği için MIM kullanıyorsanız, bu gruplar Dinamik gruplar Microsoft Entra ID geçirilebilir. Öznitelik tabanlı kurallarda, kullanıcılar bu ölçütlere göre otomatik olarak eklenir veya kaldırılır. Daha fazla bilgi için, aşağıdaki belgelere bakın.

• Microsoft Entra ID'da dinamik grubu İçerik Oluşturucu veya güncelleştirme

Grupları AD tabanlı uygulamaların kullanımına açma

Kullanılan buluttan sağlanan ve yönetilen Active Directory gruplarıyla şirket içi uygulamaları yönetme artık Microsoft Entra bulut eşitlemesi ile gerçekleştirilebilir. Şimdi Microsoft Entra bulut eşitlemesi, AD'deki uygulama atamalarını tam olarak idare etmenizi sağlarken erişimle ilgili istekleri denetlemek ve düzeltmek için Microsoft Entra ID Yönetimi özelliklerden yararlanır.

Daha fazla bilgi için bkz. Microsoft Entra ID Yönetimi kullanarak şirket içi Active Directory tabanlı uygulamaları (Kerberos) yönetme (Önizleme).

Self servis senaryoları

MIM, Exchange ve AD ile tümleşik uygulamalar tarafından kullanılmak üzere Active Directory'deki verileri yönetmek için self servis senaryolarında da kullanılmıştır. Artık bu senaryoların çoğu buluttan gerçekleştirilebilir.

Self servis grup yönetimi

Kullanıcıların güvenlik grupları veya Microsoft 365 grupları/Teams oluşturmasına izin verebilir ve ardından kendi gruplarının üyeliğini yönetebilirsiniz.

• Self servis grup yönetimi senaryoları

Çok aşamalı onaylarla erişim istekleri

Yetkilendirme yönetimi, erişim paketi kavramını tanıtır. Erişim paketi, bir kullanıcının bir projede çalışması veya grup üyeliği, SharePoint Online siteleri veya uygulama rollerine atama dahil olmak üzere görevini yerine getirmesi için gereken erişime sahip tüm kaynakların bir paketidir. Her erişim paketi, kimlerin otomatik olarak erişim alabileceğini ve kimlerin erişim isteyebileceğini belirten ilkeler içerir.

• Yetkilendirme yönetimi nedir?

Self servis parola sıfırlama

self servis parola sıfırlama (SSPR) Microsoft Entra, kullanıcılara parolalarını değiştirme veya sıfırlama olanağı sağlar. Karma bir ortamınız varsa Microsoft Entra Bağlan'ı yapılandırarak parola değişikliği olaylarını Microsoft Entra ID şirket içi Active Directory geri yazabilirsiniz.

• Self servis parola sıfırlama

Sonraki Adımlar

• Kimlik mimarisi kılavuzları
• Microsoft Entra ID için uygulamaları yönetme kaynakları
• ADFS uygulamalarını geçirme.