將身分識別和存取管理案例移轉至 Microsoft Entra Microsoft Identity Manager

發行項
04/30/2024

Microsoft Identity Manager 是 Microsoft 的內部部署裝載身分識別和存取管理產品。它是以 2003 年引進的技術為基礎，目前持續改善，並支援 Microsoft Entra 雲端服務。 MIM 是許多身分識別和存取管理策略的核心部分，可增強 Microsoft Entra ID 的雲端裝載服務和其他內部部署代理程式。

許多客戶都對將身分識別中心和存取管理案例完全移至雲端表示興趣。有些客戶將不再有內部部署環境，而其他客戶則會整合雲端裝載的身分識別和存取管理，以及其剩餘的內部部署應用程式、目錄和資料庫。本檔提供移轉選項和方法的指引，說明將身分識別和存取管理 (IAM) 案例從 Microsoft Identity Manager 移至 Microsoft Entra 雲端裝載服務，並會在新案例可供移轉時更新。類似的指引可用於移轉其他內部部署身分識別管理技術，包括從ADFS移轉。

移轉概觀

MIM 在設計時實作身分識別和存取管理的最佳做法。自之後，身分識別和存取管理環境已隨著新的應用程式和新的商務優先順序而演進，因此，針對IAM使用案例建議的方法，目前與 MIM 先前建議的方法不同。

此外，組織應該規劃案例移轉的分段方法。例如，組織可能會優先移轉使用者自助式密碼重設案例作為一個步驟，然後在完成之後移動布建案例。組織選擇移動其案例的順序將取決於其整體 IT 優先順序，以及對其他專案關係人的影響，例如需要訓練更新或應用程式擁有者的使用者。

MIM 中的 IAM 案例	如需有關 IAM 案例的詳細資訊連結，請參閱 Microsoft Entra
從 SAP HR 來源布建	將 SAP HR 的身分識別帶入 Microsoft Entra ID
從 Workday 和其他雲端 HR 來源布建	使用加入/離開生命週期工作流程從雲端 HR 系統布建到 Microsoft Entra ID
從其他內部部署 HR 來源布建	使用加入/離開生命週期工作流程從內部部署 HR 系統布建
布建至非 AD 型內部部署應用程式	將使用者從 Microsoft Entra ID 布建到內部部署應用程式
分散式組織的全域通訊清單 (GAL) 管理	將使用者從一個 Microsoft Entra ID 租使用者同步處理到另一個租使用者
AD 安全組	使用 Microsoft Entra ID 控管 (Preview) ， (Kerberos) 控管內部部署的 Active Directory 型應用程式
動態群組	以規則為基礎的 Microsoft Entra ID 安全組和 Microsoft 365 群組成員資格
自助式群組管理	自助 Microsoft Entra ID 安全組、Microsoft 365 群組和 Teams 建立和成員資格管理
自助式密碼管理	使用回寫至 AD 的自助式密碼重設
強式認證管理	無密碼驗證 Microsoft Entra ID
歷程記錄稽核和報告	使用 Azure 監視器報告 Microsoft Entra ID 和 Microsoft Entra ID 控管活動的封存記錄
Privileged Access Management	保護 Microsoft Entra ID 中混合式和雲端部署的特殊許可權存取
商務角色型存取管理	將組織角色模型移轉至 Microsoft Entra ID 控管來管理存取權
證明	群組成員資格、應用程式指派、存取套件和角色的存取權檢閱

使用者佈建

使用者布建是 MIM 功能的核心。無論是 AD 或其他 HR 來源、匯入使用者、在 Metaverse 中匯總使用者，然後將它們布建到不同的存放庫，都是其核心功能之一。下圖說明傳統布建/同步處理案例。

現在有許多使用者布建案例都可使用 Microsoft Entra ID 和相關供應專案，讓您從 MIM 移轉這些案例，以從雲端管理這些應用程式中的帳戶。

下列各節說明各種布建案例。

從雲端 HR 系統布建到 Active Directory，或使用加入/離開工作流程 Microsoft Entra ID

不論您想要直接從中的雲端布建至 Active Directory 或 Microsoft Entra ID，都可以使用內建整合來完成此作業，以 Microsoft Entra ID。下列教學課程提供直接從您的 HR 來源布建到 AD 或 Microsoft Entra ID 的指引。

許多雲端 HR 案例也牽涉到使用自動化工作流程。使用 MIM 工作流程活動連結庫開發的其中一些工作流程活動可以移轉至 Microsoft ID 治理生命週期工作流程。這些真實世界案例中有許多現在可以直接從雲端建立和管理。如需詳細資訊，請參閱下列文件。

使用加入/離開工作流程將使用者從內部部署 HR 系統布建至 Microsoft Entra ID

使用 API 驅動的輸入布建，現在可以直接從內部部署 HR 系統布建使用者 Microsoft Entra ID。如果您目前使用 MIM 從 HR 系統匯入使用者，然後將其布建至 Microsoft Entra ID，您現在可以使用建置自定義 API 驅動輸入布建連接器來完成此作業。相較於 MIM，使用 API 驅動布建連接器來達成此目的的優點是，相較於 MIM，API 驅動布建連接器的額外負荷較少，而且內部部署使用量較小。此外，透過 API 驅動布建連接器，可以從雲端進行管理。如需 API 驅動布建的詳細資訊，請參閱下列內容。

這些也可以利用生命週期工作流程。

將使用者從 Microsoft Entra ID 布建到內部部署應用程式

如果您使用 MIM 將使用者佈建至 SQL 或 LDAP 等應用程式，您現在可以透過 ECMA 連接器主機使用內部部署應用程式佈建來完成相同的工作。 ECMA 連接器主機是輕量型代理程式的一部分，可讓您減少 MIM 使用量。如需詳細資訊，請參閱下列檔。

將使用者布建至雲端 SaaS 應用程式

雲端運算世界需要與 SaaS 應用程式整合。 MIM 對 SaaS 應用程式執行的許多佈建案例，現在可以直接從 Microsoft Entra ID 完成。設定時，Microsoft Entra ID 使用 Microsoft Entra 布建服務自動布建和取消布建使用者至 SaaS 應用程式。如需 SaaS 應用程式教學課程的完整清單，請參閱下列連結。

與 SaaS 應用程式整合的教學課程

將使用者和群組布建至新的自定義應用程式

如果您的組織正在建置新的應用程式，而且需要在使用者更新或刪除時接收使用者或群組資訊或訊號，則我們建議應用程式使用 Microsoft Graph 來查詢 Microsoft Entra ID，或使用 SCIM 自動佈建。

群組管理案例

在過去，組織使用 MIM 來管理 AD 中的群組，包括 AD 安全組和 Exchange DLS，然後透過 Microsoft Entra Connect 同步處理至 Microsoft Entra ID 和 Exchange Online。組織現在可以在 Microsoft Entra ID 和 Exchange Online 中管理安全組，而不需要在內部部署的 Active Directory 中建立群組。

動態群組

如果您使用 MIM 進行動態群組成員資格，這些群組可以移轉為 Microsoft Entra ID 動態群組。使用以屬性為基礎的規則時，系統會根據此準則自動新增或移除使用者。如需詳細資訊，請參閱下列文件。

在 Microsoft Entra ID 中 Create 或更新動態群組

讓群組可供 AD 型應用程式使用

使用在雲端中布建和管理的 Active Directory 群組來管理內部部署應用程式，現在可以使用 Microsoft Entra 雲端同步來完成。現在 Microsoft Entra 雲端同步可讓您完全控管 AD 中的應用程式指派，同時利用 Microsoft Entra ID 控管功能來控制和補救任何存取相關要求。

如需詳細資訊，請參閱使用 Microsoft Entra ID 控管 (Preview) (Kerberos) 管理內部部署的 Active Directory 型應用程式。

自助式案例

MIM 也已用於自助式案例，以管理 Active Directory 中的數據，以供 Exchange 和 AD 整合式應用程式使用。現在許多相同的案例可以從雲端完成。

自助式群組管理

您可以允許使用者建立安全組或 Microsoft 365 群組/Teams，然後管理其群組的成員資格。

自助群組管理情節

使用多階段核准存取要求

權利管理引進了存取套件的概念。存取套件是使用者需要處理專案或執行其工作的所有資源組合，包括群組成員資格、SharePoint Online 網站或應用程式角色指派。每個存取套件都包含原則，這些原則會指定自動取得存取權的人員，以及誰可以要求存取權。

什麼是權利管理?

自助式密碼重設

Microsoft Entra 自助式密碼重設 (SSPR) 可讓使用者變更或重設其密碼。如果您有混合式環境，您可以設定 Microsoft Entra Connect，將密碼變更事件從 Microsoft Entra ID 寫回內部部署的 Active Directory。

自助式密碼重設

共用方式為