Microsoft Identity Manager 数据处理

本文为组织如何作出可应用于多个连接的数据源的决定提供了指导。 这可以通过搜索、删除、更新和报告操作来实现。 在决定删除或更新方法前,了解身份管理器系统 (MIM) 的当前设计和配置至关重要。

下面介绍一些方案,客户将需要考虑并回答以下问题:

  • 需要什么数据来进行身份管理以帮助完成业务流程?
  • 当前数据将存储在 MIM 中的哪个位置?
  • 将如何在系统中使用此数据?
  • 是否要与任何外部合作伙伴数据源共享此数据(导出)
  • 数据及其处理的权威来源是什么?
  • 数据保留和数据删除计划将会就绪吗?
  • 是否已找到处理和管理数据所需的所有技术?

为了帮助了解当前的 MIM 环境,你可以利用以下工具来记录 MIM 环境,或遵从实施设计文档。

搜索并标识个人数据

在 MIM 中搜索数据将取决于配置和设置。 大多数环境是互连的,但会为清楚起见,我们按照高级别组件对其进行分类。

同步服务

MIM 中与用户相关的所有数据均源自 Active Directory (AD) 和 HR 数据源。 在搜索个人数据时,应首先考虑的搜索位置是 AD 或已连接数据源。

如果不确定权威来源,则可以从 MIM Synchronization Service Manager 控制台跟踪此用户,单击“Metaverse 搜索栏”来查看存储在数据库中的个人身份数据。 用户可搜索特定的用户或属性。

  • 执行审阅或搜索用户对象数据
    • 打开“同步服务客户端”
      • 使用 metaverse 设计器可查看属性流导入和优先级。 同步Service Manager的屏幕截图,其中显示了 Metaverse Designer。
      • 使用 Metaverse 搜索可以搜索数据库中的任何对象和属性。同步Service Manager显示 Metaverse 搜索的屏幕截图。

找到对象后,单击该对象将打开用户配置文件页。 对象详细信息会提供以下内容的全面详细信息:对象、其属性、最后修改时间和权威来源及从以下管理代理配置示例派生的相关已连接数据源。

同步Service Manager的屏幕截图,其中显示了用户配置文件页和 Metaverse 对象属性。

服务和门户/PAM

如果安装了服务和门户或 PAM 的实例,那么能够搜索用户非常重要。

如果安装了门户,则可以使用 UI 来搜索任何属性或查询特定用户。

如果只安装了服务服务器(不带门户 UI),则可基于 [FIMAutomation PSSnapin] 运行搜索语法,可在此处找到示例。

PAM 可以使用上述相同的语法,或者可以使用 MIMPAM 模块,特别是 get-pamuser cmdlet 来搜索 PAM 环境中的用户。

搜索可用数据的其他报告选项位于服务和门户中。

BHOLD

Bhold Core 服务有一个可用来搜索用户或属性的 UI。

bhold 搜索

如果正在将 BHOLD 与访问管理连接器同步以获取同步服务,用户将能够看到已连接的用户对象以及发送到 BHOLD Core 的属性。

此外,还可以加载 BHOLD 报告模块。

证书管理

证书管理服务搜索内置于该 UI。 管理员将启动并选择“查找用户并查看或管理其信息”

cm 搜索

导出个人数据

由于与 MIM 中的实体相关的数据派生自多个源,因此,大多数数据均存储在同步服务数据库中。 为此,应从 MIM 同步导出对象相关数据,或者你可以确定此数据的所有者。

同步服务

用于导出数据的同步服务只需从搜索 UI 选择该数据并复制粘贴到 csv 或首选格式。 导出此数据的另一种方法是创建基于文件的 MA,以删除所需的关于感兴趣的标记用户的最新数据。 可在此处找到使用基于文件的 MA 的示例。

服务和门户/PAM

借助服务和门户以及 PAM,你可以导出此数据,基于 [FIMAutomation PSSnapin] 运行搜索语法(可在此处找到示例),并将其发送到 csv

PAM 可以使用上述相同的语法,或者可以使用 MIMPAM 模块,特别是 get-pamuser 来搜索 PAM 环境中的用户并将其发送到 csv。

BHOLD

可以使用 Bhold 报告模块将 Bhold 数据导出为首选格式。

证书管理

将与个人数据相关的证书管理数据连接到 Active Directory。 管理员可以使用 Active Directory PowerShell 导出此数据。

更新个人数据

有关 MIM 解决方案中的用户或对象的个人数据通常派生自组织的已连接数据源中用户的对象。 因为对 HR 源中的用户配置文件或记录的另一个权威系统(例如 AD)进行的任何更改之后都将反映在 MIM 同步服务中。

同步服务

为了执行管理操作,管理员必须是同步操作的一部分或此处定义的管理员。

通过定义来自权威来源中的规则来完成数据更新。 管理控制台帮助识别权威来源以在源上对其进行更新。 另一种选择是创建同步规则或规则扩展来控制数据更新(如果 HR 数据等来源仍需要保留)。 这些是可用的支持选项。

有关更新属性的不同方式的详细信息,请参阅以下内容。

服务和门户/PAM

可以使用 FIMAutomation 或 PAM cmdlet 来更新要包含 PAM 数据的服务和门户。 如果有门户,也可以通过搜索直接进行更新并修改该对象。 有一点需要注意,根据配置,只从门户进行更新并不意味着它会保持不变。 因为权威来源很大程度上取决于整体配置。

BHOLD

可以使用 BHOLD Core 用户界面或访问管理连接器直接更新用户。

证书管理

证书管理服务中的用户在 Active Directory 中均有反映。 若要更新,请使用 Active Directory 更改对象详细信息。

删除个人数据

备注

本文将提供有关如何从 Microsoft Identity Manager 删除个人数据的指南,并可用来支持你在 GDPR 下的义务。 如果正在查找有关 GDPR 的常规信息,请参阅服务信任门户的 GDPR 部分

MIM 中的数据从其连接的数据源同步并始终从其进行更新。 在目标中删除一个对象时,出于安全调查的目的,可以保留该对象在 MIM 中的数据。 对象删除是根据连接的数据源规则或规则扩展(代码)和/或对象删除规则进行配置的。

同步服务

同步服务如同许多其他方法一样依据业务流程来处理数据或删除数据。 为了便于理解,下面介绍一些文章来帮助了解有关删除和更新属性的方法:

服务和门户/PAM

建议采用服务和门户,这会保留默认 30 天的系统资源保留配置。 这会告知服务何时删除,不仅请求数据,还会删除需要从系统清除的任何对象。 一旦发生此过程,将删除链接到此对象的所有数据,其中包括所有 SSPR 注册数据。 这将进入上面的对象删除配置。 我们确实有一个存储对象 guid 的表。 为了减少版本 4.4.1459 中表的总体大小,我们添加了称为 FIM_DeleteExpiredSystemObjectsJob 的过程。可在此处找到有关此过程的详细信息。

显示“系统资源保留配置”屏幕的屏幕截图。

BHOLD

Bhold 等连接到同步服务的大多数系统可以配置为在删除 HR 等源对象后删除。 这是在管理代理上进行配置的, 并由同步服务功能下所述的对象删除规则控制。

另一种方法是直接从 BHOLD Core 用户界面删除用户对象。 根据设置,这可以正常工作,但请注意,如果未在源上删除预配逻辑,它可能会重新创建此用户。 显示 BHOLD 核心用户界面的屏幕截图。

证书管理

若要从 CM 删除用户,请在 Active Directory 中删除该用户。

证书管理,因为它将仅存储带有域 sAMAccountName 的证书服务的配置文件 uid。 从 AD 中删除用户后,用户缓存仅存在于他们已注册的证书中。 不建议删除数据库中的任何内容,因为这可能会在整体上对环境的操作造成负面影响。

选择退出遥测

早期版本的 FIM/MIM 用于收集有关每个部署的匿名遥测,并通过 HTTPS 将此数据传输到 Microsoft 服务器。 过去,Microsoft 利用该数据来帮助改进未来版本的 FIM/MIM。

备注

在稍后的 4.5.x.x 版本或更高版本中,数据收集将被禁用。

若要在早期版本中禁用数据收集,请运行更改模式,并取消选择以下提示:

显示 Microsoft 标识管理客户体验改善计划的选择退出屏幕的屏幕截图。

或编辑注册表,并将值设置为 0:(Component)CEIP HKLM\SOFTWARE\Microsoft\Forefront Identity Manager\2010

显示注册表编辑器的屏幕截图。

后续步骤