将标识和访问管理方案从 Microsoft Identity Manager 迁移到 Microsoft Entra
Microsoft标识管理器是Microsoft本地托管标识和访问管理产品。 它基于 2003 年引入的技术,在当今不断改进,并支持 Microsoft Entra 云服务。 MIM 是许多标识和访问管理策略的核心部分,增加了 Microsoft Entra ID 的云托管服务和其他本地代理。
许多客户表示有兴趣将标识的中心和访问管理方案完全转移到云中。 某些客户将不再具有本地环境,而其他客户将云托管标识和访问管理与其剩余的本地应用程序、目录和数据库集成。 本文档提供有关将标识和访问管理(IAM)方案从 Microsoft Identity Manager 迁移到 Microsoft Entra 云托管服务的迁移选项和方法的指导,并将在新的方案可供迁移时进行更新。 类似的指南可用于迁移其他本地标识管理技术,包括 从 ADFS 迁移。
迁移概述
MIM 在设计时实现了标识和访问管理的最佳做法。 此后,标识和访问管理环境随着新的应用程序和新的业务优先级而演变,因此,在很多情况下,建议用于解决 IAM 用例的方法与以前建议的 MIM 方法不同。
此外,组织还应规划方案迁移的暂存方法。 例如,组织可能会将最终用户自助密码重置方案作为一个步骤进行迁移,然后一旦完成,即可移动预配方案。 组织选择迁移其方案的顺序取决于其总体 IT 优先级,以及对其他利益干系人的影响,例如需要培训更新的最终用户或应用程序所有者。
| MIM 中的 IAM 方案 | 有关 Microsoft Entra 中 IAM 方案的详细信息的链接 |
|---|---|
| 从 SAP HR 源进行预配 | 将 SAP HR 中的标识引入到 entra ID Microsoft |
| 从 Workday 和其他云 HR 源进行预配 | 通过加入/离开生命周期工作流从云 HR 系统预配到 Microsoft Entra ID |
| 从其他本地 HR 源预配 | 通过加入/离开生命周期工作流从本地 HR 系统预配 |
| 预配到非基于 AD 的本地应用程序 | 将用户从 Microsoft Entra ID 预配到本地应用 |
| 分布式组织的全局地址列表 (GAL) 管理 | 将用户从一个Microsoft Entra ID 租户同步到另一个租户 |
| AD 安全组 | 使用 Microsoft Entra ID 治理 管理基于本地 Active Directory的应用(Kerberos) |
| 动态组 | 基于规则的Microsoft Entra ID 安全组和Microsoft 365 组成员身份 |
| 自助组管理 | 自助服务Microsoft Entra ID 安全组、Microsoft 365 个组和 Teams 创建和成员身份管理 |
| 自助服务密码管理 | 使用写回 AD 的自助密码重置 |
| 强大的凭据管理措施 | Microsoft Entra ID 的无密码身份验证 |
| 历史审核和报告 | 使用 Azure Monitor 报告 Microsoft Entra ID 和 Microsoft Entra ID 治理 活动的存档日志 |
| Privileged Access Management | 保护Microsoft Entra ID 中混合部署和云部署的特权访问 |
| 基于角色的访问管理 | 通过将组织角色模型迁移到Microsoft Entra ID 治理来管理访问权限 |
| 证明 | 组成员身份、应用程序分配、访问包和角色的访问评审 |
用户预配
用户预配是 MIM 的作用的核心。 无论是 AD 还是其他 HR 源,导入用户,在 Metaverse 中聚合用户,然后将其预配到不同的存储库是其核心功能之一。 下图演示了经典预配/同步方案。
现在,其中许多用户预配方案都使用 Microsoft Entra ID 和相关产品/服务提供,使你可以从 MIM 迁移这些方案,以便从云中管理这些应用程序中的帐户。
以下部分介绍各种预配方案。
通过加入/离开工作流从云 HR 系统预配到 Active Directory 或Microsoft Entra ID
无论是要直接从云预配到 Active Directory 还是Microsoft Entra ID,都可以使用内置集成来实现此目的,以Microsoft Entra ID。 以下教程提供有关直接从 HR 源预配到 AD 或Microsoft Entra ID 的指导。
许多云 HR 方案还涉及使用自动化工作流。 使用 MIM 工作流活动库开发的其中一些工作流活动可以迁移到Microsoft ID 治理生命周期工作流。 现在可以直接从云创建和管理其中许多实际方案。 有关详细信息,请参阅以下文档。
通过加入/离开工作流将用户从本地 HR 系统预配到Microsoft Entra ID
使用 SAP 人力资本管理 (HCM) 并拥有 SAP SuccessFactors 的客户可以通过使用 SAP Integration Suite 来同步 SAP HCM 和 SAP SuccessFactors 之间的辅助角色列表,将标识引入 Microsoft Entra ID。 可以从此处将标识直接引入 Microsoft Entra ID,或将其预配到 Active Directory 域服务中。
使用 API 驱动的入站预配,现在可以将用户直接预配到本地 HR 系统中Microsoft Entra ID。 如果当前使用 MIM 从 HR 系统导入用户,然后将其预配到Microsoft Entra ID,则现在可以使用生成自定义 API 驱动的入站预配连接器来完成此操作。 与 MIM 相比,使用 API 驱动的预配连接器实现此目的的优势在于,API 驱动的预配连接器的开销要小得多,本地占用空间要小得多。 此外,使用 API 驱动的预配连接器,可以从云对其进行管理。 有关 API 驱动的预配的详细信息,请参阅以下内容。
这些工作流还可以利用生命周期工作流。
将用户从 Microsoft Entra ID 预配到本地应用
如果使用 MIM 将用户预配到 SAP ECC 等应用程序、具有 SOAP 或 REST API 的应用程序,或者使用基础 SQL 数据库或非 AD LDAP 目录的应用程序,则现在可以通过 ECMA 连接器主机使用本地应用程序预配来完成相同的任务。 ECMA 连接器主机是轻型代理的一部分,可用于减少 MIM 占用。 如果在 MIM 环境中具有自定义连接器,则可以将其配置迁移到代理。 有关详细信息,请参阅以下文档。
- 本地预配应用程序体系结构
- 将用户预配到已启用 SCIM 的应用
- 将用户预配到基于 SQL 的应用程序
- 将用户预配到 LDAP 目录
- 将用户预配到用于 Linux 身份验证的 LDAP 目录中
- 使用 PowerShell 将用户预配到应用程序中
- 使用 Web 服务连接器进行预配
- 使用自定义连接器进行预配
将用户预配到云 SaaS 应用
在云计算世界中,需要与 SaaS 应用程序集成。 MIM 对 SaaS 应用执行的许多预配方案现在可以直接从 Microsoft Entra ID 完成。 配置后,Microsoft Entra ID 会自动使用 Microsoft Entra 预配服务将用户预配到 SaaS 应用程序并取消预配。 有关 SaaS 应用教程的完整列表,请参阅以下链接。
将用户和组预配到新的自定义应用
如果你的组织正在生成新应用程序,并且需要在更新或删除用户时接收用户或组信息或信号,则我们建议应用程序使用 Microsoft Graph 查询Microsoft Entra ID,或使用 SCIM 自动预配。
组管理方案
以前,组织使用 MIM 管理 AD 中的组,包括 AD 安全组和 Exchange DL,然后通过 Microsoft Entra Connect 同步到 Microsoft Entra ID 和 Exchange Online。 组织现在可以在 Microsoft Entra ID 和 Exchange Online 中管理安全组,而无需在本地 Active Directory中创建组。
动态组
如果对动态组成员身份使用 MIM,可以将这些组迁移到Microsoft Entra ID 动态组。 使用基于属性的规则,将根据此条件自动添加或删除用户。 有关详细信息,请参阅以下文档。
使组可用于基于 AD 的应用程序
现在,可以使用在使用的云中预配和管理的 Active Directory 组管理本地应用程序,这可以通过 Microsoft Entra 云同步来实现。现在,Microsoft Entra 云同步允许你在 AD 中完全控制应用程序分配,同时利用Microsoft Entra ID 治理功能来控制和修正任何与访问相关的请求。
有关详细信息,请参阅使用 Microsoft Entra ID 治理 管理基于本地 Active Directory的应用(Kerberos)。
自助服务方案
MIM 也已在自助服务方案中用于管理 Active Directory 中的数据,供 Exchange 和 AD 集成应用使用。 现在,可以从云中完成许多相同的方案。
自助组管理
你可以允许用户创建安全组或Microsoft 365 个组/Teams,然后管理其组的成员身份。
使用多阶段审批访问请求
权利管理引入了“访问包”的概念。 访问包是用户需要处理项目或执行其任务(包括组成员身份、SharePoint Online 网站或分配给应用程序角色)的所有资源的捆绑包。 每个访问包都包含一个策略,这些策略指定谁自动获取访问权限,以及谁可以请求访问权限。
自助式密码重置
Microsoft Entra 自助密码重置(SSPR)使用户能够更改或重置其密码。 如果你有混合环境,则可以配置 Microsoft Entra Connect,以将密码更改事件从 Microsoft Entra ID 写回本地 Active Directory。