Поделиться через

Перенос сценариев управления удостоверениями и доступом в Microsoft Entra из Microsoft Identity Manager

  • Статья

Microsoft Identity Manager — это локальный продукт управления удостоверениями и доступом Майкрософт. Она основана на технологии, введенной в 2003 году, постоянно улучшается до сегодняшнего дня и поддерживается вместе с облачными службами Microsoft Entra. MIM является основной частью многих стратегий управления удостоверениями и доступом, дополняя облачные службы Microsoft Entra ID и другие локальные агенты.

Важный

Мы запрашиваем отзывы от наших клиентов о том, как они планируют миграцию из Microsoft Identity Manager (MIM) до окончания срока жизни в январе 2029 года.

Пожалуйста, уделите время, чтобы заполнить небольшой опрос здесь: https://aka.ms/MIMMigrationFeedback

Многие клиенты выразили интерес к перемещению центра сценариев управления удостоверениями и доступом полностью в облако. Некоторые клиенты больше не будут иметь локальную среду, а другие интегрируют управление удостоверениями, размещенными в облаке, и доступом с оставшимися локальными приложениями, каталогами и базами данных. В этом документе содержатся рекомендации по вариантам миграции и подходам к перемещению сценариев управления удостоверениями и доступом (IAM) из Microsoft Identity Manager в облачные службы Microsoft Entra и будут обновлены по мере того, как новые сценарии становятся доступными для миграции. Аналогичное руководство доступно для миграции других локальных технологий управления удостоверениями, включая миграцию из ADFS.

Обзор миграции

MIM реализовал рекомендации по управлению удостоверениями и доступом во время разработки. С тех пор ландшафт управления удостоверениями и доступом развивался с новыми приложениями и новыми бизнес-приоритетами, поэтому подходы, рекомендуемые для решения вариантов использования IAM, во многих случаях будут отличаться сегодня, чем ранее рекомендуемые с MIM.

Кроме того, организации должны спланировать поэтапный подход к миграции сценариев. Например, организация может задать приоритет на миграцию сценария самосброса пароля конечным пользователем как начального этапа, а затем, после завершения этого процесса, перейти к сценарию управления ресурсами. Порядок, в котором организация выбирает перемещение своих сценариев, зависит от их общих ИТ-приоритетов и влияния на других заинтересованных лиц, таких как конечные пользователи, нуждающиеся в обновлении обучения, или владельцы приложений.

Сценарий IAM в MIM Ссылка для получения дополнительных сведений о сценарии IAM в Microsoft Entra
Настройка из источников SAP HR перенос удостоверений из SAP HR в идентификатор Microsoft Entra
Обеспечение из Workday и других облачных HR-систем обеспечение из облачных HR-систем в Microsoft Entra ID с рабочими процессами жизненного цикла присоединения и ухода
Подготовка из других локальных источников кадров настройка из локальных HR-систем с рабочими процессами цикла приема и увольнения
Обеспечение ресурсов для локальных приложений, не основанных на Active Directory (AD) подготовка пользователей из идентификатора Microsoft Entra в локальные приложения
Управление глобальным списком адресов (GAL) для распределенных организаций синхронизация пользователей из одного клиента Идентификатора Microsoft Entra в другой
Группы безопасности AD управление приложениями на основе локальной службы Active Directory (Kerberos) с помощью Microsoft Entra ID Governance
Динамические группы Группа безопасности на основе правил Microsoft Entra ID и членство в группах Microsoft 365
Возможность самостоятельного управления группами самостоятельное создание и управление членством в группе безопасности Microsoft Entra ID, группах Microsoft 365 и Teams
Самостоятельное управление паролями самостоятельный сброс пароля с обратной записью в AD
Надежное управление учетными данными Проверка подлинности без пароля для идентификатора Microsoft Entra
Исторический аудит и отчеты архивные журналы для создания отчетов о Microsoft Entra ID и управлении Microsoft Entra ID с помощью Azure Monitor
Управление привилегированным доступом защита привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra
Управление доступом на основе бизнес-ролей управление доступом путем переноса модели ролей организации в Управление идентификацией Microsoft Entra
Аттестация проверки доступа для членства в группах, назначений приложений, пакетов доступа и ролей

Подготовка пользователей

Подготовка пользователей находится в самом центре того, что делает MIM. Независимо от того, являются ли источники AD или другими источниками управления персоналом, одной из основных функций является импорт пользователей, их агрегирование в метавселенной и последующее распределение в различные репозитории. На схеме ниже показан классический сценарий подготовки и синхронизации.

Концептуальная схема локального развертывания с MIM.

Теперь многие из этих сценариев подготовки пользователей доступны с помощью идентификатора Microsoft Entra и связанных предложений, которые позволяют перенести эти сценарии из MIM для управления учетными записями в этих приложениях из облака.

В следующих разделах описаны различные сценарии подготовки.

Управление доступом из облачных систем HR в Active Directory или Идентификатор Microsoft Entra с помощью процессов подключения/отключения.

Концептуальная схема облачного предоставления для Microsoft Entra ID и AD.

Если вы хотите подготовить непосредственно из облака в Active Directory или идентификатор Microsoft Entra ID, это можно сделать с помощью встроенных интеграции с идентификатором Microsoft Entra. В следующих руководствах содержатся рекомендации по подключению непосредственно из кадрового источника в AD или Microsoft Entra ID.

Многие из сценариев облачного отдела кадров также включают использование автоматизированных рабочих процессов. Некоторые из этих действий рабочих процессов, разработанные с помощью библиотеки действий рабочего процесса для MIM, можно перенести в рабочие процессы жизненного цикла управления идентификаторами Майкрософт. Многие из этих реальных сценариев теперь можно создавать и управлять непосредственно из облака. Дополнительные сведения см. в следующей документации.

Проведение пользователей из локальных HR-систем в Microsoft Entra ID с помощью рабочих процессов присоединения и выхода

Клиенты, использующие SAP Human Capital Management (HCM) и имеющие SAP SuccessFactors, могут принести удостоверения в идентификатор Microsoft Entra с помощью SAP Integration Suite для синхронизации списков работников между SAP HCM и SAP SuccessFactors. Оттуда можно перенести удостоверения непосредственно в идентификатор Microsoft Entra или подготовить их в службы домен Active Directory.

Схема интеграции с персоналом SAP.

Используя управляемое API внутреннее предоставление, теперь можно предоставлять пользователей непосредственно в Microsoft Entra ID из вашей локальной системы управления персоналом. Если вы используете MIM для импорта пользователей из системы управления персоналом и затем обеспечиваете их добавление в Microsoft Entra ID, теперь можно создать заказной соединитель для входящей подготовки, управляемый API, чтобы выполнить эту задачу. Преимущество использования соединителя подготовки на основе API для достижения этого по сравнению с MIM заключается в том, что соединитель подготовки на основе API имеет гораздо меньше затрат и гораздо меньше места в локальной среде по сравнению с MIM. Кроме того, с помощью API-управляемого соединителя им можно управлять из облака. Дополнительные сведения о подготовке на основе API см. в следующих статьях.

Концептуальная схема подготовки, управляемой через API, в Microsoft Entra ID.

Они также могут эффективно использовать рабочие процессы жизненного цикла.

Настройка пользователей из Microsoft Entra ID для локальных приложений

Концептуальная схема настройки для локальных приложений.

Если вы используете MIM для подготовки пользователей к приложениям, таким как SAP ECC, приложениям, имеющим SOAP или REST API, или приложениям с базовой базой данных SQL или каталогом LDAP, отличным от AD LDAP, теперь можно использовать подготовку локальных приложений через узел соединителя ECMA для выполнения этих же задач. Узел соединителя ECMA является частью агента с легким весом и позволяет сократить объем памяти MIM. Если у вас есть пользовательские соединители в среде MIM, можно перенести конфигурацию в агент. Дополнительные сведения см. в документации ниже.

Подготовка пользователей к облачным приложениям SaaS

Концептуальная схема предоставления для SaaS приложений.

Интеграция с приложениями SaaS необходима в мире облачных вычислений. Многие сценарии развертывания, которые MIM выполнял в приложениях SaaS, теперь можно выполнять непосредственно из Microsoft Entra ID. При настройке Microsoft Entra ID автоматически подготавливает и удаляет пользователей в приложения SaaS с помощью службы автоматической подготовки Microsoft Entra. Полный список руководств по приложениям SaaS см. по ссылке ниже.

Настройка пользователей и групп для новых настраиваемых приложений

Если ваша организация создает новые приложения и необходимо получать сведения о пользователях или группах, а также сигналы при обновлении или удалении пользователей, мы рекомендуем применять Microsoft Graph для запроса данных из Microsoft Entra ID или использовать SCIM для автоматического предоставления.

Сценарии управления группами

Исторически организации использовали MIM для управления группами в AD, включая группы безопасности AD и DLs Exchange, которые затем были синхронизированы через Microsoft Entra Connect с идентификатором Microsoft Entra ID и Exchange Online. Теперь организации могут управлять группами безопасности в Microsoft Entra ID и Exchange Online, без необходимости создавать группы в локальной Active Directory.

Динамические группы

Если вы используете MIM для динамического членства в группах, эти группы можно перенести в динамические группы Microsoft Entra ID. При использовании правил на основе атрибутов пользователи автоматически добавляются или удаляются на основе этих критериев. Дополнительные сведения см. в следующей документации.

Предоставление доступа к группам для приложений на основе AD

Управление локальными приложениями с группами Active Directory, созданными и поддерживаемыми в облаке, теперь можно выполнить с помощью Microsoft Entra Cloud Sync. Теперь Microsoft Entra Cloud Sync позволяет полностью управлять назначениями приложений в AD, используя функции Управления удостоверениями в Microsoft Entra для контроля и решения всех связанных с доступом запросов.

Дополнительные сведения см. в разделе "Управление приложениями на основе локальная служба Active Directory" (Kerberos) с помощью Управление идентификацией Microsoft Entra.

Сценарии самообслуживания

Концептуальный эскиз самообслуживания.

MIM также использовался в сценариях самообслуживания для управления данными в Active Directory для использования приложениями Exchange и AD. Теперь многие из этих же сценариев можно выполнить из облака.

Управление группами в режиме самообслуживания

Вы можете разрешить пользователям создавать группы безопасности или группы Microsoft 365 или Teams, а затем управлять членством в своей группе.

Запросы доступа с многоэтапными одобрениями

Управление правами представляет концепцию пакета доступа. Пакет доступа — это пакет всех ресурсов с доступом, которым пользователь должен работать над проектом или выполнять свою задачу, включая членство в группах, сайтах SharePoint Online или назначение ролей приложений. Каждый пакет доступа включает политики, указывающие, кто автоматически получает доступ, и кто может запросить доступ.

Самостоятельный сброс пароля

Самостоятельный сброс пароля (SSPR) Microsoft Entra позволяет пользователям изменять или сбрасывать пароль. Если у вас есть гибридная среда, вы можете настроить Microsoft Entra Connect для записи событий изменения пароля обратно из Microsoft Entra ID в локальную службу Active Directory.

Следующие шаги