Scenari di migrazione della gestione delle identità e degli accessi a Microsoft Entra da Microsoft Identity Manager

Microsoft Identity Manager è il prodotto di gestione delle identità e degli accessi ospitati in locale da Microsoft. Si basa sulla tecnologia introdotta nel 2003, costantemente migliorata fino ad oggi e supportata insieme ai servizi cloud Microsoft Entra. MIM è stata una parte fondamentale di molte strategie di gestione delle identità e degli accessi, aumentando i servizi ospitati nel cloud di Microsoft Entra ID e altri agenti locali.

Molti clienti hanno espresso interesse per spostare completamente il centro degli scenari di gestione delle identità e degli accessi nel cloud. Alcuni clienti non avranno più un ambiente locale, mentre altri integrano la gestione delle identità e degli accessi ospitata nel cloud con le applicazioni, le directory e i database locali rimanenti. Questo documento fornisce indicazioni sulle opzioni di migrazione e sugli approcci per lo spostamento di scenari di gestione delle identità e degli accessi (IAM) da Microsoft Identity Manager ai servizi ospitati nel cloud di Microsoft Entra e verrà aggiornato man mano che i nuovi scenari diventano disponibili per la migrazione. Sono disponibili indicazioni simili per la migrazione di altre tecnologie di gestione delle identità locali, inclusa la migrazione da ADFS.

Panoramica della migrazione

MIM ha implementato le procedure consigliate per la gestione delle identità e degli accessi al momento della progettazione. Da allora, il panorama di gestione delle identità e degli accessi si è evoluto con nuove applicazioni e nuove priorità aziendali, quindi gli approcci consigliati per affrontare i casi d'uso IAM saranno in molti casi diversi rispetto a quelli consigliati in precedenza con MIM.

Inoltre, le organizzazioni devono pianificare un approccio a fasi per la migrazione dello scenario. Ad esempio, un'organizzazione può classificare in ordine di priorità la migrazione di uno scenario di reimpostazione della password self-service dell'utente finale come un passaggio e quindi, una volta completato, lo spostamento di uno scenario di provisioning. L'ordine in cui un'organizzazione sceglie di spostare gli scenari dipenderà dalle priorità IT complessive e dall'impatto su altri stakeholder, ad esempio gli utenti finali che necessitano di un aggiornamento di formazione o dei proprietari di applicazioni.

IAM scenario in MIM	Collegamento per altre informazioni sullo scenario IAM in Microsoft Entra
Provisioning da origini HR SAP	portare le identità da SAP HR in Microsoft Entra ID
Provisioning da Workday e da altre origini hr cloud	provisioning da sistemi HR cloud in Microsoft Entra ID con flussi di lavoro del ciclo di vita di join/uscita
Provisioning da altre origini HR locali	provisioning da sistemi HR locali con flussi di lavoro del ciclo di vita di join/uscita
Provisioning in applicazioni locali non basate su ACTIVE Directory	provisioning di utenti da Microsoft Entra ID ad app locali
Gestione globale dell'elenco indirizzi (GAL) per le organizzazioni distribuite	sincronizzazione degli utenti da un tenant di Microsoft Entra ID a un altro
Gruppi di sicurezza di Active Directory	gestire le app basate su Active Directory locale (Kerberos) usando Microsoft Entra ID Governance
Gruppi dinamici	gruppo di sicurezza Microsoft Entra ID basato su regole e appartenenze ai gruppi di Microsoft 365
Gestione di gruppi self-service	gruppo di sicurezza self-service Microsoft Entra ID, gruppi di Microsoft 365 e gestione di creazione e appartenenza di Teams
Gestione delle password self-service	reimpostazione della password self-service con writeback in AD
Gestione avanzata delle credenziali	autenticazione senza password per Microsoft Entra ID
Controllo cronologico e creazione di report	archiviare i log per la creazione di report sulle attività di governance di Microsoft Entra ID e Microsoft Entra ID con Monitoraggio di Azure
Gestione degli accessi con privilegi	protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID
Gestione degli accessi in base al ruolo aziendale	gestire l'accesso eseguendo la migrazione di un modello di ruolo aziendale a Microsoft Entra ID Governance
Attestazione	verifiche di accesso per appartenenze a gruppi, assegnazioni di applicazioni, pacchetti di accesso e ruoli

Provisioning utenti

Il provisioning degli utenti è al centro di ciò che fa MIM. Che si tratti di AD o di altre origini HR, importando gli utenti, aggregandoli nel metaverse e quindi di effettuarne il provisioning in repository diversi è una delle sue funzioni di base. Il diagramma seguente illustra uno scenario di provisioning/sincronizzazione classico.

Molti di questi scenari di provisioning utenti sono ora disponibili usando l'ID Entra Di Microsoft e le offerte correlate, che consentono di eseguire la migrazione di questi scenari da MIM per gestire gli account in tali applicazioni dal cloud.

Le sezioni seguenti descrivono i vari scenari di provisioning.

Provisioning da sistemi HR cloud ad Active Directory o Microsoft Entra ID con flussi di lavoro join/leave

Se si vuole eseguire il provisioning direttamente dal cloud in Active Directory o microsoft Entra ID, questa operazione può essere eseguita usando integrazioni predefinite con Microsoft Entra ID. Le esercitazioni seguenti forniscono indicazioni sul provisioning direttamente dall'origine HR in AD o microsoft Entra ID.

• Esercitazione: Configurare Workday per il provisioning utenti automatico
• Esercitazione: Configurare il provisioning utenti di Workday in Microsoft Entra

Molti degli scenari di risorse umane cloud implicano anche l'uso di flussi di lavoro automatizzati. È possibile eseguire la migrazione di alcune di queste attività del flusso di lavoro sviluppate usando la libreria di attività del flusso di lavoro per MIM ai flussi di lavoro del ciclo di lavoro di Microsoft ID Governance Lifecycle. Molti di questi scenari reali possono ora essere creati e gestiti direttamente dal cloud. Per altre informazioni, vedere la documentazione seguente:

• Che cosa sono i flussi di lavoro del ciclo di vita?
• Automatizzare l'onboarding dei dipendenti
• Automatizzare l'off-onboarding dei dipendenti

Provisioning di utenti da sistemi HR locali a Microsoft Entra ID con flussi di lavoro di join/uscita

I clienti che usano SAP Human Capital Management (HCM) e hanno SAP SuccessFactors possono inserire le identità in Microsoft Entra ID usando SAP Integration Suite per sincronizzare gli elenchi di ruoli di lavoro tra SAP HCM e SAP SuccessFactors. Da qui, è possibile inserire le identità direttamente nell'ID Entra Microsoft o eseguirne il provisioning in Servizi di dominio Active Directory.

Usando il provisioning in ingresso basato sulle API, è ora possibile effettuare il provisioning degli utenti direttamente nell'ID Microsoft Entra dal sistema HR locale. Se attualmente si usa un MIM per importare gli utenti da un sistema HR e quindi eseguirne il provisioning in Microsoft Entra ID, è ora possibile usare la compilazione di un connettore di provisioning in ingresso basato su API personalizzato per eseguire questa operazione. Il vantaggio dell'uso del connettore di provisioning basato sulle API per ottenere questo risultato rispetto a MIM è che il connettore di provisioning basato sulle API ha un sovraccarico molto inferiore e un footprint molto più ridotto in locale, rispetto a MIM. Inoltre, con il connettore di provisioning basato su API, può essere gestito dal cloud. Per altre informazioni sul provisioning basato su API, vedere quanto segue.

• Concetti relativi al provisioning in ingresso basato su API
• Consentire agli integratori di sistemi di creare più connettori per i sistemi di record
• Configurare l'app di provisioning in ingresso basato su API

Questi possono anche sfruttare i flussi di lavoro del ciclo di vita.

• Che cosa sono i flussi di lavoro del ciclo di vita?
• Automatizzare l'onboarding dei dipendenti
• Automatizzare l'off-onboarding dei dipendenti

Provisioning di utenti da Microsoft Entra ID ad app locali

Se si usa MIM per effettuare il provisioning di utenti in applicazioni come SAP ECC, alle applicazioni che dispongono di un'API SOAP o REST o alle applicazioni con un database SQL sottostante o una directory LDAP non AD, è ora possibile usare il provisioning di applicazioni locali tramite l'host del connettore ECMA per eseguire le stesse attività. L'host del connettore ECMA fa parte di un agente leggero e consente di ridurre il footprint MIM. Se nell'ambiente MIM sono presenti connettori personalizzati, è possibile eseguire la migrazione della configurazione all'agente. Per altre informazioni, vedere la documentazione seguente.

• Architettura dell'applicazione di provisioning locale
• Provisioning di utenti in app abilitate per SCIM
• Provisioning di utenti in applicazioni basate su SQL
• Provisioning di utenti in directory LDAP
• Provisioning di utenti in una directory LDAP per l'autenticazione Linux
• Provisioning di utenti in applicazioni tramite PowerShell
• Provisioning con il connettore di servizi Web
• Provisioning con i connettori personalizzati

Effettuare il provisioning degli utenti nelle app SaaS cloud

L'integrazione con le applicazioni SaaS è necessaria nel mondo del cloud computing. Molti degli scenari di provisioning eseguiti da MIM nelle app SaaS possono ora essere eseguiti direttamente da Microsoft Entra ID. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS usando il servizio di provisioning Microsoft Entra. Per un elenco completo delle esercitazioni sulle app SaaS, vedere il collegamento seguente.

• Esercitazioni per l'integrazione con app SaaS

Effettuare il provisioning di utenti e gruppi in nuove app personalizzate

Se l'organizzazione sta creando nuove applicazioni e richiede la ricezione di informazioni o segnali di utenti o gruppi quando gli utenti vengono aggiornati o eliminati, è consigliabile che l'applicazione usi Microsoft Graph per eseguire query su Microsoft Entra ID oppure usare SCIM per il provisioning automatico.

• Uso dell'API Microsoft Graph
• Sviluppare e pianificare il provisioning per un endpoint SCIM in Microsoft Entra ID
• Provisioning di utenti in applicazioni abilitate per SCIM locali

Scenari di gestione dei gruppi

Storicamente le organizzazioni usavano MIM per la gestione dei gruppi in ACTIVE Directory, inclusi i gruppi di sicurezza di Active Directory e gli elenchi di dominio di Exchange, che venivano quindi sincronizzati tramite Microsoft Entra Connect con Microsoft Entra ID ed Exchange Online. Le organizzazioni possono ora gestire i gruppi di sicurezza in Microsoft Entra ID ed Exchange Online, senza richiedere la creazione di gruppi in Active Directory locale.

Gruppi dinamici

Se si usa MIM per l'appartenenza dinamica ai gruppi, è possibile eseguire la migrazione di questi gruppi in gruppi dinamici di Microsoft Entra ID. Con le regole basate su attributi, gli utenti vengono aggiunti o rimossi automaticamente in base a questi criteri. Per altre informazioni, vedere la documentazione seguente:

• Creare o aggiornare un gruppo dinamico in Microsoft Entra ID

Rendere disponibili i gruppi alle applicazioni basate su AD

La gestione delle applicazioni locali con gruppi di Active Directory di cui è stato effettuato il provisioning e gestito nel cloud usato ora può essere eseguita con la sincronizzazione cloud di Microsoft Entra. Ora microsoft Entra cloud sync consente di gestire completamente le assegnazioni di applicazioni in AD sfruttando al tempo stesso le funzionalità di governance di Microsoft Entra ID per controllare e correggere eventuali richieste correlate all'accesso.

Per altre informazioni, vedere Govern Active Directory locale based apps (Kerberos) using Microsoft Entra ID Governance(Governance id microsoft).

Scenari self-service

MIM è stato usato anche negli scenari self-service per gestire i dati in Active Directory, per l'uso da parte delle app integrate in Exchange e AD. Ora molti di questi stessi scenari possono essere eseguiti dal cloud.

Gestione di gruppi self-service

È possibile consentire agli utenti di creare gruppi di sicurezza o gruppi di Microsoft 365/Teams e quindi gestire l'appartenenza al proprio gruppo.

• Scenari di gestione dei gruppi self-service

Richieste di accesso con approvazioni in più fasi

La gestione entitlement introduce il concetto di pacchetto di accesso. Un pacchetto di accesso è un bundle di tutte le risorse con l'accesso che un utente deve lavorare su un progetto o eseguire l'attività, tra cui l'appartenenza a gruppi, siti di SharePoint Online o l'assegnazione ai ruoli dell'applicazione. Ogni pacchetto di accesso include criteri che specificano chi ottiene l'accesso automaticamente e chi può richiedere l'accesso.

• Informazioni su Gestione entitlement

Reimpostazione della password self-service

Microsoft Entra self-service password reset (SSPR) offre agli utenti la possibilità di modificare o reimpostare la password. Se si dispone di un ambiente ibrido, è possibile configurare Microsoft Entra Connect per scrivere eventi di modifica della password da Microsoft Entra ID a un Active Directory locale.

• Reimpostazione della password self-service

Passaggi successivi

• Guide all'architettura delle identità
• Risorse per la gestione delle applicazioni in Microsoft Entra ID
• Eseguire la migrazione di applicazioni ADFS.