Перенос сценариев управления удостоверениями и доступом в Microsoft Entra из Microsoft Identity Manager

Microsoft Identity Manager — это локальный продукт управления удостоверениями и доступом Майкрософт. Она основана на технологии, введенной в 2003 году, постоянно улучшается до сегодняшнего дня и поддерживается вместе с облачными службами Microsoft Entra. MIM является основной частью многих стратегий управления удостоверениями и доступом, расширяя облачные службы Идентификатора Майкрософт и другие локальные агенты.

Важный

Мы запрашиваем отзывы от наших клиентов о том, как они планируют миграцию из Microsoft Identity Manager (MIM) до окончания срока жизни в январе 2029 года.

Пожалуйста, уделите время, чтобы заполнить небольшой опрос здесь: https://aka.ms/MIMMigrationFeedback

Многие клиенты выразили интерес к перемещению центра сценариев управления удостоверениями и доступом полностью в облако. Некоторые клиенты больше не будут иметь локальную среду, а другие интегрируют управление удостоверениями, размещенными в облаке, и доступом с оставшимися локальными приложениями, каталогами и базами данных. В этом документе содержатся рекомендации по вариантам миграции и подходам к перемещению сценариев управления удостоверениями и доступом (IAM) из Microsoft Identity Manager в облачные службы Microsoft Entra и будут обновлены по мере того, как новые сценарии становятся доступными для миграции. Аналогичное руководство доступно для миграции других локальных технологий управления удостоверениями, включая миграцию из ADFS.

Обзор миграции

MIM реализовал рекомендации по управлению удостоверениями и доступом во время разработки. С тех пор ландшафт управления удостоверениями и доступом развивался с новыми приложениями и новыми бизнес-приоритетами, поэтому подходы, рекомендуемые для решения вариантов использования IAM, во многих случаях будут отличаться сегодня, чем ранее рекомендуемые с MIM.

Кроме того, организации должны спланировать поэтапный подход к миграции сценариев. Например, организация может определить приоритет при переносе сценария самостоятельного сброса пароля конечным пользователем в качестве одного шага, а затем после завершения переноса сценария подготовки. Порядок, в котором организация выбирает перемещение своих сценариев, зависит от их общих ИТ-приоритетов и влияния на других заинтересованных лиц, таких как конечные пользователи, нуждающиеся в обновлении обучения, или владельцы приложений.

Сценарий IAM в MIM	Ссылка для получения дополнительных сведений о сценарии IAM в Microsoft Entra
Подготовка из источников управления персоналом SAP	перенос удостоверений из SAP HR в идентификатор Microsoft Entra
Подготовка из Workday и других облачных источников кадров	подготовка из облачных систем управления персоналом в идентификатор Microsoft Entra с рабочими процессами присоединения и выхода из жизненного цикла
Подготовка из других локальных источников кадров	подготовка из локальных систем управления персоналом с рабочими процессами присоединения и выхода из жизненного цикла
Подготовка к локальным приложениям, не основанным на AD	подготовка пользователей из идентификатора Microsoft Entra в локальные приложения
Управление глобальным списком адресов (GAL) для распределенных организаций	синхронизация пользователей из одного клиента Идентификатора Microsoft Entra в другой
Группы безопасности AD	управление приложениями на основе локальная служба Active Directory (Kerberos) с помощью Управление идентификацией Microsoft Entra
Динамические группы	Группа безопасности на основе правил Microsoft Entra ID и членство в группах Microsoft 365
Самостоятельное управление группами	самостоятельная группа безопасности Microsoft Entra ID, группы Microsoft 365 и управление членством в Teams
Самостоятельное управление паролями	самостоятельный сброс пароля с обратной записью в AD
Надежное управление учетными данными	Проверка подлинности без пароля для идентификатора Microsoft Entra
Исторический аудит и отчеты	архивные журналы для создания отчетов по идентификатору Microsoft Entra и Управление идентификацией Microsoft Entra действиям с помощью Azure Monitor
Управление привилегированным доступом	защита привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra
Управление доступом на основе бизнес-ролей	управление доступом путем переноса модели ролей организации в Управление идентификацией Microsoft Entra
Аттестация	проверки доступа для членства в группах, назначений приложений, пакетов доступа и ролей

Подготовка пользователей

Подготовка пользователей находится в самом центре того, что делает MIM. Независимо от того, является ли это AD или другими источниками кадров, импортом пользователей, агрегированием их в метавселенной и последующей подготовкой к различным репозиториям является одной из основных функций. На схеме ниже показан классический сценарий подготовки и синхронизации.

Теперь многие из этих сценариев подготовки пользователей доступны с помощью идентификатора Microsoft Entra и связанных предложений, которые позволяют перенести эти сценарии из MIM для управления учетными записями в этих приложениях из облака.

В следующих разделах описаны различные сценарии подготовки.

Подготовка из облачных систем управления персоналом в Active Directory или Идентификатор Microsoft Entra с помощью рабочих процессов присоединения или выхода

Если вы хотите подготовить непосредственно из облака в Active Directory или идентификатор Microsoft Entra ID, это можно сделать с помощью встроенных интеграции с идентификатором Microsoft Entra. В следующих руководствах приведены рекомендации по подготовке непосредственно из источника кадров в AD или Идентификаторе Microsoft Entra.

• Руководство по Настройка Workday для автоматической подготовки пользователей
• Руководство по настройке Workday для подготовки пользователей Microsoft Entra

Многие из сценариев облачного отдела кадров также включают использование автоматизированных рабочих процессов. Некоторые из этих действий рабочих процессов, разработанные с помощью библиотеки действий рабочего процесса для MIM, можно перенести в рабочие процессы жизненного цикла управления идентификаторами Майкрософт. Многие из этих реальных сценариев теперь можно создавать и управлять непосредственно из облака. Дополнительные сведения см. в следующей документации.

• Рабочие процессы жизненного цикла
• Автоматизация адаптации сотрудников
• Автоматизация выключения сотрудников

Подготовка пользователей из локальных систем управления персоналом в идентификатор Microsoft Entra с помощью рабочих процессов присоединения или выхода

Клиенты, использующие SAP Human Capital Management (HCM) и имеющие SAP SuccessFactors, могут принести удостоверения в идентификатор Microsoft Entra с помощью SAP Integration Suite для синхронизации списков работников между SAP HCM и SAP SuccessFactors. Оттуда можно перенести удостоверения непосредственно в идентификатор Microsoft Entra или подготовить их в службы домен Active Directory.

Используя встроенную подготовку API, теперь можно подготовить пользователей непосредственно к идентификатору Microsoft Entra из локальной системы управления персоналом. Если вы используете MIM для импорта пользователей из системы управления персоналом, а затем подготавливаете их к идентификатору Microsoft Entra ID, теперь можно создать настраиваемый соединитель подготовки, управляемый API, для этого. Преимущество использования соединителя подготовки на основе API для достижения этого по сравнению с MIM заключается в том, что соединитель подготовки на основе API имеет гораздо меньше затрат и гораздо меньше места в локальной среде по сравнению с MIM. Кроме того, с помощью соединителя подготовки на основе API его можно управлять из облака. Дополнительные сведения о подготовке на основе API см. в следующих статьях.

• Основные понятия подготовки на основе API, управляемого входящего трафика
• Включение системных интеграторов для создания дополнительных соединителей в системах записей
• Настройка приложения подготовки на основе API на основе входящего трафика

Они также могут использовать рабочие процессы жизненного цикла.

• Рабочие процессы жизненного цикла
• Автоматизация адаптации сотрудников
• Автоматизация выключения сотрудников

Подготовка пользователей из идентификатора Microsoft Entra в локальные приложения

Если вы используете MIM для подготовки пользователей к приложениям, таким как SAP ECC, приложениям, имеющим SOAP или REST API, или приложениям с базовой базой данных SQL или каталогом LDAP, отличным от AD LDAP, теперь можно использовать подготовку локальных приложений через узел соединителя ECMA для выполнения этих же задач. Узел соединителя ECMA является частью агента с легким весом и позволяет сократить объем памяти MIM. Если у вас есть пользовательские соединители в среде MIM, можно перенести конфигурацию в агент. Дополнительные сведения см. в документации ниже.

• Архитектура приложения подготовки локальной среды
• Подготовка пользователей к приложениям с поддержкой SCIM
• Подготовка пользователей в приложениях на основе SQL
• Подготовка пользователей в каталоги LDAP
• Подготовка пользователей в каталог LDAP для проверки подлинности Linux
• Подготовка пользователей в приложения с помощью PowerShell
• Подготовка с помощью соединителя веб-служб
• Подготовка пользовательских соединителей

Подготовка пользователей к облачным приложениям SaaS

Интеграция с приложениями SaaS необходима в мире облачных вычислений. Многие сценарии подготовки, выполняемые MIM в приложениях SaaS, теперь можно выполнять непосредственно из идентификатора Microsoft Entra. При настройке идентификатор Microsoft Entra ID автоматически подготавливает и отменяет подготовку пользователей в приложения SaaS с помощью службы подготовки Microsoft Entra. Полный список руководств по приложениям SaaS см. по ссылке ниже.

• Руководства по интеграции с приложениями SaaS

Подготовка пользователей и групп к новым пользовательским приложениям

Если ваша организация создает новые приложения и требует получения сведений о пользователе или группе или сигналов при обновлении или удалении пользователей, мы рекомендуем приложению использовать Microsoft Graph для запроса идентификатора Microsoft Entra ID или использовать SCIM для автоматической подготовки.

• с помощью API Microsoft Graph.
• Разработка и планирование подготовки для конечной точки SCIM в идентификаторе Microsoft Entra
• Подготовка пользователей к приложениям с поддержкой SCIM, которые являются локальными

Сценарии управления группами

Исторически организации использовали MIM для управления группами в AD, включая группы безопасности AD и DLs Exchange, которые затем были синхронизированы через Microsoft Entra Connect с идентификатором Microsoft Entra ID и Exchange Online. Теперь организации могут управлять группами безопасности в идентификаторе Microsoft Entra и Exchange Online, не требуя создания групп в локальная служба Active Directory.

Динамические группы

Если вы используете MIM для динамического членства в группах, эти группы можно перенести в динамические группы Microsoft Entra ID. При использовании правил на основе атрибутов пользователи автоматически добавляются или удаляются на основе этих критериев. Дополнительные сведения см. в следующей документации.

• Создание или обновление динамической группы в идентификаторе Microsoft Entra

Предоставление доступа к группам для приложений на основе AD

Управление локальными приложениями с группами Active Directory, подготовленными и управляемыми в облаке, теперь можно выполнить с помощью облачной синхронизации Microsoft Entra. Теперь облачная синхронизация Microsoft Entra позволяет полностью управлять назначениями приложений в AD, используя преимущества Управление идентификацией Microsoft Entra функций для управления и исправления всех связанных запросов доступа.

Дополнительные сведения см. в разделе "Управление приложениями на основе локальная служба Active Directory" (Kerberos) с помощью Управление идентификацией Microsoft Entra.

Сценарии самообслуживания

MIM также использовался в сценариях самообслуживания для управления данными в Active Directory для использования приложениями Exchange и AD. Теперь многие из этих же сценариев можно выполнить из облака.

Самостоятельное управление группами

Вы можете разрешить пользователям создавать группы безопасности или группы Microsoft 365 или Teams, а затем управлять членством в своей группе.

• Сценарии самостоятельного управления группами

Доступ к запросам с многоэтапными утверждениями

Управление правами представляет концепцию пакета доступа. Пакет доступа — это пакет всех ресурсов с доступом, которым пользователь должен работать над проектом или выполнять свою задачу, включая членство в группах, сайтах SharePoint Online или назначение ролей приложений. Каждый пакет доступа включает политики, указывающие, кто автоматически получает доступ, и кто может запросить доступ.

• Общие сведения об управлении правами

Самостоятельный сброс пароля

Самостоятельный сброс пароля (SSPR) Microsoft Entra позволяет пользователям изменять или сбрасывать пароль. Если у вас есть гибридная среда, вы можете настроить Microsoft Entra Connect для записи событий изменения пароля обратно с идентификатора Microsoft Entra в локальная служба Active Directory.

• Самостоятельный сброс пароля

Next Steps

• Руководства по архитектуре удостоверений
• Ресурсы для управления приложениями с идентификатором Microsoft Entra
• Перенос приложений ADFS.