解决方案

本文介绍的解决方案可以让您:

  • 将身份与记录系统连接
  • 在 Active Directory 域服务(AD DS)和Microsoft Entra ID 之间同步标识
  • 自动将用户预配到非Microsoft应用程序中

将身份与记录系统连接

在大多数设计中,人力资源(HR)系统是新创建的数字标识的权威来源。 HR 系统通常是许多预配过程的起点。 例如,如果新用户加入公司,则他们在 HR 系统中有一条记录。 该用户可能需要帐户才能访问 Microsoft 365 个服务(如 Teams 和 SharePoint)或非Microsoft应用程序。

将标识与云 HR 同步

Microsoft Entra 预配服务使组织能够 将常用 HR 系统 (例如 WorkdaySuccessFactors)中的标识直接引入到 Microsoft Entra ID 或 AD DS 中。 此预配功能使新员工能够从第一天开始访问所需的资源。

内部部署的人力资源系统 + 整合多个数据源

若要为员工标识创建完整的用户配置文件,组织通常会合并来自多个 HR 系统、数据库和其他用户数据存储的信息。 MIM 提供一组丰富的 连接器 和集成解决方案,可与本地和云中的异类平台互作。

MIM 为需要从多个源进行数据转换和合并的高级方案提供 规则扩展工作流功能 功能。 这些连接器、规则扩展和工作流功能使组织能够聚合 MIM Metaverse 中的用户数据,从而为每个用户形成单个标识。 可以将标识 预配到下游系统 ,例如 AD DS。

记录模型系统

在 Active Directory 域服务(AD DS)和Microsoft Entra ID 之间同步标识

当客户将应用程序移动到云中,并与 Microsoft Entra ID 集成时,用户通常需要Microsoft Entra ID 中的帐户,Microsoft Windows Server Active Directory 来访问其工作的应用程序。 下面是需要在 Microsoft Windows Server Active Directory 和 Microsoft Entra ID 之间同步对象的五种常见方案。

方案根据所需的同步方向进行划分,并按一到五列出。 根据以下场景使用表格确定哪些技术解决方案提供同步。

请在接下来的两部分中使用编号章节与下表进行交叉引用。

将标识从 AD DS 同步到 Microsoft Entra ID

  1. 对于 Microsoft Windows Server Active Directory 中需要访问 Office 365 或其他连接到 Microsoft Entra ID 的应用程序的用户,Microsoft Entra Connect 云同步是首选的解决方案。 它提供了一种轻型解决方案,用于在 Microsoft Entra ID 中创建用户、管理密码休息和同步组。 配置和管理主要在云中完成,最大限度地减少本地占用空间。 它提供高可用性和自动故障转移,确保密码重置和同步继续,即使本地服务器出现问题也是如此。

  2. 对于复杂的大规模Microsoft Windows Server Active Directory 到 Azure AD Sync 要求,例如同步大型组(超过 50,000 个成员)和设备同步,请使用 Microsoft Entra Connect Sync。

将标识从 Microsoft Entra ID 同步到 AD DS

当客户将标识管理转换为云时,Microsoft Entra ID 中直接创建更多用户和组。 但是,它们仍需要在 AD DS 中进行本地部署,以访问各种资源。

  1. 使用 B2B 在 Microsoft Entra ID 中创建来自合作伙伴组织的外部用户时,MIM 可以自动将其预配 到 AD DS 中,并授予这些来宾访问 本地 Windows-Integrated 身份验证或基于 Kerberos 的应用程序的访问权限。 或者,客户可以使用 PowerShell 脚本 在本地自动创建来宾帐户。

  2. 在 Microsoft Entra ID 中创建组时,可以使用 Microsoft Entra Connect Sync 自动同步到 AD DS。

  3. 当用户需要访问仍依赖于旧访问协议(例如 LDAP 和 Kerberos/NTLM)的云应用时, Microsoft Entra 域服务 在 Microsoft Entra ID 与托管Microsoft Windows Server Active Directory 域之间同步标识。

否。 对象 功能 科技
1 用户、组 AD DS Microsoft Entra 身份识别系统 Microsoft Entra Connect 云同步
2 用户、组、设备 AD DS Microsoft Entra 身份识别系统 Microsoft Entra Connect Sync
3 群组 Microsoft Entra 身份识别系统 AD DS Microsoft Entra Connect Sync
4 来宾帐户 Microsoft Entra 身份识别系统 AD DS MIMPowerShell
5 用户、组 Microsoft Entra 身份识别系统 Managed Microsoft Windows Server Active Directory Microsoft Entra 域服务

该表描述了常见方案和推荐的技术。

将用户自动预配到非Microsoft应用程序中

通过 HR 的预配或 Microsoft Entra Connect 云同步/Microsoft Entra Connect Sync 在 Microsoft Entra ID 中创建标识后,员工可以使用该标识访问 Teams、SharePoint 和 Microsoft 365 应用程序。 但是,员工仍需要访问许多Microsoft应用程序才能执行其工作。

自动化决策矩阵

自动预配支持 SCIM 标准的应用和云

Microsoft Entra ID 支持跨域标识管理(SCIM)(SCIM 2.0)标准,并与数百种常用软件即服务(SaaS)应用程序(如 DropboxAtlassian )或其他云(如 Amazon Web Services(AWS)Google Cloud 集成。 应用程序开发人员可以使用 System for Cross-Domain Identity Management (SCIM) 用户管理 API 在 Microsoft Entra ID 与应用程序之间自动预配用户和组。

SCIM 标准

除了预先集成的画廊应用程序之外,Microsoft Entra ID 还支持向启用 SCIM 的业务线应用程序进行预配,无论这些应用程序是在本地托管还是在云中托管。 Microsoft Entra 预配服务在这些应用程序中创建用户和组,并管理更新,例如当用户被提升或离开公司时)。

了解有关向支持 SCIM 的应用程序进行配置的详细信息

自动化对本地应用程序的预配

许多应用程序不支持 SCIM 标准,并且客户以前使用为 MIM 开发的连接器来连接到它们。 Microsoft Entra 预配服务支持重用为 MIM 生成的连接器,而无需 MIM 同步部署。 这将打开与各种本地和 SaaS 应用程序的连接。

协议 连接器
LDAP LDAP
SQL SQL
REST Web 服务
简单对象访问协议 (SOAP) Web 服务
平面文件 PowerShell
习惯 自定义 ECMA 连接器

详细了解 本地应用程序预配

使用合作伙伴开发的集成

Microsoft合作伙伴开发了 SCIM 网关,使你可以在 Microsoft Entra ID 与各种系统(例如大型机、HR 系统和旧数据库)之间同步用户。 下图中,SCIM 网关由合作伙伴生成和管理。

使用 SCIM 网关的代理

详细了解 合作伙伴驱动的集成

管理本地应用密码

许多应用程序都有一个本地身份验证存储和一个 UI,该 UI 仅检查用户针对该存储提供的凭据。 因此,这些应用程序无法通过 Microsoft Entra ID 支持多重身份验证(MFA),并构成安全风险。 Microsoft建议为所有应用程序启用单一登录和多重身份验证。 根据我们的研究,如果使用 多重身份验证,你的帐户超过 99.9% 不太可能遭到入侵。 但是,如果应用程序无法外部化身份验证,客户可以使用 MIM 将这些应用程序的密码更改同步到这些应用程序。

为组织数据提供访问权限

详细了解 MIM 密码更改通知服务

根据组织数据为用户定义和预配访问权限

MIM 使你能够导入组织数据,例如作业代码和位置。 然后,该信息可用于自动为该用户设置访问权限。

管理本地应用密码

自动执行常见业务工作流

将用户预配到 Microsoft Entra ID 后,使用生命周期工作流(LCW)在用户生命周期的关键阶段(例如新员工、调动和离职)自动执行相应的操作。 这些自定义工作流可由 Microsoft Entra LCW 自动触发,也可以按需启用或禁用帐户、生成临时访问通行证、更新 Teams 或组成员身份、发送自动电子邮件和触发逻辑应用。 这有助于组织确保:

  • 加入者:当用户加入组织时,他们在第一天就可以就绪。 他们对所需的信息和应用程序具有正确的访问权限。 他们拥有执行其工作所需的硬件。

  • 离开者:当用户因各种原因(解雇、离职、休假或退休)离开公司时,及时撤销他们的访问权限。

详细了解 Microsoft Entra 生命周期工作流

注释

对于 LCW 未涵盖的方案,客户可以使用 逻辑应用程序的扩展性。

协调直接在目标系统中所做的更改

组织通常需要完整的审计追踪,以了解用户访问哪些包含受监管数据的应用程序。 若要提供审核线索,直接提供给用户的任何访问权限都必须通过记录系统进行跟踪。 MIM 提供了协调功能,以检测直接在目标系统中所做的更改并回滚更改。 除了检测目标应用程序中的更改外,MIM 还可以将标识从第三方应用程序导入到 Microsoft Entra ID。 这些应用程序通常会增强源自 HR 系统的用户记录集。

后续步骤

  1. 使用 Microsoft Entra 应用库中支持 SCIMSQLLDAP 的任何应用程序进行自动预配。
  2. 评估 Microsoft Entra Connect 云同步 ,以便在 AD DS 与 Microsoft Entra ID 之间进行同步
  3. Microsoft Identity Manager 用于复杂的预配方案