Megosztás a következőn keresztül:

Identitás- és hozzáférés-kezelési forgatókönyvek migrálása a Microsoft Entra-ba a Microsoft Identity Managerből

  • Cikk

A Microsoft Identity Manager a Microsoft helyszíni identitás- és hozzáférés-kezelési terméke. A 2003-ban bevezetett technológián alapul, a mai napon folyamatosan fejlődik, és a Microsoft Entra felhőszolgáltatásaival együtt támogatott. A MIM számos identitás- és hozzáférés-kezelési stratégia alapvető része volt, kiegészítve a Microsoft Entra ID felhőalapú szolgáltatásait és más helyszíni ügynököket.

Sok ügyfél érdeklődését fejezte ki az identitás- és hozzáférés-kezelési forgatókönyvek középpontjának teljes felhőbe való áthelyezése iránt. Egyes ügyfelek már nem rendelkeznek helyszíni környezettel, míg mások a felhőben üzemeltetett identitás- és hozzáférés-kezelést integrálják a fennmaradó helyszíni alkalmazásokkal, címtárakkal és adatbázisokkal. Ez a dokumentum útmutatást nyújt az identitás- és hozzáférés-kezelési (IAM)-forgatókönyvek Microsoft Identity Managerből a Microsoft Entra felhőben üzemeltetett szolgáltatásokba való áthelyezésének lehetőségeiről és megközelítéséről, és az új forgatókönyvek elérhetővé válásakor frissülni fog. Hasonló útmutatás érhető el más helyszíni identitáskezelési technológiák áttelepítéséhez, beleértve az ADFS-ből való migrálást is.

Az áttelepítés áttekintése

A MIM a tervezéskor implementálta az identitás- és hozzáférés-kezelés ajánlott eljárásait. Azóta az identitás- és hozzáférés-kezelési környezet új alkalmazásokkal és új üzleti prioritásokkal bővült, így az IAM-használati esetek kezelésére javasolt megközelítések ma sok esetben eltérnek a MIM-ben korábban javasoltaktól.

Emellett a szervezeteknek szakaszos megközelítést kell megtervezni a forgatókönyvek migrálásához. Egy szervezet például egy lépésben rangsorolhatja egy végfelhasználói önkiszolgáló jelszó-visszaállítási forgatókönyv migrálását, majd ha ez befejeződött, áthelyezhet egy kiépítési forgatókönyvet. Az a sorrend, amelyben a szervezet a forgatókönyvek áthelyezését választja, az általános informatikai prioritásoktól és más érdekelt felekre, például a betanítási frissítésre szoruló végfelhasználókra vagy az alkalmazástulajdonosokra gyakorolt hatástól függ.

IAM-forgatókönyv a MIM-ben Hivatkozás a Microsoft Entra IAM-forgatókönyvéről
Kiépítés SAP HR-forrásokból identitások importálása az SAP HR-ből a Microsoft Entra-azonosítóba
Kiépítés a Workdayből és más felhőbeli HR-forrásokból üzembe helyezés a felhőbeli HR-rendszerekből a Microsoft Entra ID-ba csatlakozási/kilépési életciklus-munkafolyamatokkal
Kiépítés más helyszíni HR-forrásokból üzembe helyezés helyszíni HR-rendszerekből csatlakozási/kilépési életciklus-munkafolyamatokkal
Kiépítés nem AD-alapú helyszíni alkalmazások számára felhasználók kiépítése a Microsoft Entra ID-ból a helyszíni alkalmazásokba
Globális címlista (GAL) kezelése elosztott szervezetek számára a felhasználók szinkronizálása az egyik Microsoft Entra ID-bérlőről egy másikra
AD biztonsági csoportok helyi Active Directory alapú alkalmazások (Kerberos) szabályozása Microsoft Entra ID-kezelés
Dinamikus csoportok szabályalapú Microsoft Entra ID biztonsági csoport és Microsoft 365-csoporttagságok
Önkiszolgáló csoportkezelés önkiszolgáló Microsoft Entra ID biztonsági csoport, Microsoft 365-csoportok és Teams létrehozása és tagságkezelése
Önkiszolgáló jelszókezelés önkiszolgáló jelszó-visszaállítás az AD-be való visszaírással
Erős hitelesítő adatok kezelése jelszó nélküli hitelesítés a Microsoft Entra-azonosítóhoz
Előzménynapló és jelentéskészítés Archiválási naplók a Microsoft Entra-azonosítóról és Microsoft Entra ID-kezelés tevékenységekről az Azure Monitor használatával
Emelt szintű hozzáférés-kezelés kiemelt hozzáférés biztosítása hibrid és felhőbeli üzemelő példányokhoz a Microsoft Entra ID-ban
Üzleti szerepköralapú hozzáférés-kezelés a hozzáférést úgy szabályozhatja, hogy egy szervezeti szerepkörmodellt migrál a Microsoft Entra ID-kezelés
Igazolás hozzáférés-felülvizsgálatok csoporttagságokhoz, alkalmazás-hozzárendelésekhez, hozzáférési csomagokhoz és szerepkörökhöz

Felhasználók átadása

A felhasználói kiépítés a MIM-nek a középpontjában áll. Akár AD-ről, akár más HR-forrásokról van szó, a felhasználók importálása, a metaverzumban való összesítésük, majd a különböző adattárakba való kiépítése az egyik alapvető funkciója. Az alábbi ábra egy klasszikus kiépítési/szinkronizálási forgatókönyvet mutat be.

A helyszíni kiépítés fogalmi rajza a MIM-sel.

Most már számos ilyen felhasználói kiépítési forgatókönyv érhető el a Microsoft Entra-azonosító és a kapcsolódó ajánlatok használatával, amelyek lehetővé teszik, hogy ezeket a forgatókönyveket migrálja a MIM-ből, hogy az ilyen alkalmazásokban lévő fiókokat a felhőből kezelje.

A következő szakaszok a különböző kiépítési forgatókönyveket ismertetik.

Üzembe helyezés a felhőbeli HR-rendszerekből az Active Directoryba vagy a Microsoft Entra-azonosítóba csatlakozási/kilépési munkafolyamatokkal

A Microsoft Entra ID és az AD számára történő felhőkiépítés elméleti rajza.

Akár közvetlenül a felhőből szeretne kiépíteni az Active Directoryba vagy a Microsoft Entra ID-ba, ez a Microsoft Entra ID-hez való beépített integrációval valósítható meg. Az alábbi oktatóanyagok útmutatást nyújtanak a hr-forrásból az AD-be vagy a Microsoft Entra-azonosítóba való közvetlen üzembe helyezéshez.

A felhőbeli HR-forgatókönyvek közül sok automatizált munkafolyamatokat is magában foglal. A MIM munkafolyamat-tevékenységtárával fejlesztett munkafolyamat-tevékenységek némelyike migrálható a Microsoft ID Governance Lifecycle munkafolyamataiba. Ezen valós forgatókönyvek közül sok már közvetlenül a felhőből hozható létre és kezelhető. További információt a következő dokumentációban találhat.

Felhasználók kiépítése a helyszíni HR-rendszerekről a Microsoft Entra-azonosítóra csatlakozási/kilépési munkafolyamatokkal

Az SAP Human Capital Managementet (HCM) használó és AZ SAP SuccessFactorst használó ügyfelek az SAP Integration Suite használatával identitásokat hozhatnak létre a Microsoft Entra-azonosítóban az SAP HCM és az SAP SuccessFactors közötti dolgozók listájának szinkronizálásához. Innen közvetlenül a Microsoft Entra-azonosítóba helyezheti az identitásokat, vagy kiépítheti őket Active Directory tartományi szolgáltatások.

SAP HR-integrációk diagramja.

Az API-vezérelt bejövő kiépítéssel mostantól közvetlenül kiépíthet felhasználókat a Microsoft Entra-azonosítóba a helyszíni HR-rendszerből. Ha jelenleg MIM-et használ a felhasználók HR-rendszerből való importálásához, majd a Microsoft Entra-azonosítóhoz való üzembe helyezéséhez, most már létrehozhat egy egyéni API-vezérelt bejövő kiépítési összekötőt ennek végrehajtásához. Az API-alapú kiépítési összekötő használatának előnye, hogy ezt a MIM-hez képest az API-alapú kiépítési összekötő sokkal kevesebb többletterheléssel és sokkal kisebb helyszíni terheléssel rendelkezik a MIM-hez képest. Emellett az API-alapú kiépítési összekötővel a felhőből is felügyelhető. Az API-alapú kiépítésről az alábbiakban talál további információt.

Az API-alapú kiépítés elméleti rajza a Microsoft Entra ID-nak.

Ezek az életciklus-munkafolyamatokat is kihasználhatják.

Felhasználók kiépítése a Microsoft Entra-azonosítóból a helyszíni alkalmazásokba

A helyszíni alkalmazások üzembe helyezésének elméleti rajza.

Ha a MIM-et arra használja, hogy felhasználókat építsen ki olyan alkalmazásokhoz, mint az SAP ECC, a SOAP vagy REST API-val rendelkező alkalmazásokhoz, vagy egy mögöttes SQL-adatbázissal vagy nem AD LDAP-címtárral rendelkező alkalmazásokhoz, most már használhatja a helyszíni alkalmazáskiépítést az ECMA-összekötő gazdagépén keresztül ugyanazon feladatok elvégzéséhez. Az ECMA-összekötő gazdagépe egy kis súlyú ügynök része, és lehetővé teszi a MIM-lábnyom csökkentését. Ha egyéni összekötőkkel rendelkezik a MIM-környezetben, migrálhatja a konfigurációjukat az ügynökbe. További információkért tekintse meg az alábbi dokumentációt.

Felhasználók kiépítése felhőbeli SaaS-alkalmazásokhoz

A Saas-alkalmazások üzembe helyezésének elméleti rajza.

Az SaaS-alkalmazásokkal való integrációra a felhőalapú számítástechnika világában van szükség. A MIM által az SaaS-alkalmazásokban végrehajtott kiépítési forgatókönyvek közül sok most már közvetlenül a Microsoft Entra-azonosítóból végezhető el. Ha konfigurálva van, a Microsoft Entra ID automatikusan kiépít és kiépít felhasználókat SaaS-alkalmazásokba a Microsoft Entra kiépítési szolgáltatás használatával. Az SaaS-alkalmazás oktatóanyagainak teljes listáját az alábbi hivatkozáson találja.

Felhasználók és csoportok kiépítése új egyéni alkalmazásokhoz

Ha a szervezet új alkalmazásokat hoz létre, és felhasználói vagy csoportinformációkat vagy jeleket kell kapnia a felhasználók frissítésekor vagy törlésekor, javasoljuk, hogy az alkalmazás vagy a Microsoft Graph használatával kérdezze le a Microsoft Entra-azonosítót, vagy használja az SCIM-et az automatikus kiépítéshez.

Csoportkezelési forgatókönyvek

Korábban a szervezetek a MIM-et használták az AD-csoportok kezeléséhez, beleértve az AD biztonsági csoportokat és az Exchange DLL-eket, amelyeket aztán szinkronizáltak a Microsoft Entra Connecten keresztül a Microsoft Entra ID-hoz és az Exchange Online-hoz. A szervezetek mostantól kezelhetik a biztonsági csoportokat a Microsoft Entra ID-ban és az Exchange Online-ban anélkül, hogy csoportokat kellene létrehozniuk helyi Active Directory.

Dinamikus csoportok

Ha mim-et használ dinamikus csoporttagsághoz, ezek a csoportok microsoft Entra-azonosítójú dinamikus csoportokba migrálhatók. Attribútumalapú szabályok esetén a rendszer automatikusan hozzáadja vagy eltávolítja a felhasználókat ezen feltételek alapján. További információt a következő dokumentációban találhat.

Csoportok elérhetővé tétele az AD-alapú alkalmazások számára

A használt felhőből kiépített és felügyelt Active Directory-csoportokkal rendelkező helyszíni alkalmazások kezelése mostantól a Microsoft Entra felhőszinkronizálásával is elvégezhető. A Microsoft Entra felhőszinkronizálása lehetővé teszi az alkalmazás-hozzárendelések teljes körű szabályozását az AD-ben, miközben kihasználja Microsoft Entra ID-kezelés funkciók előnyeit a hozzáféréssel kapcsolatos kérések szabályozásához és szervizeléséhez.

További információ: Helyi Active Directory-alapú alkalmazások szabályozása (Kerberos) Microsoft Entra ID-kezelés használatával.

Önkiszolgáló forgatókönyvek

Az önkiszolgálóság fogalmi rajza.

A MIM-et önkiszolgáló forgatókönyvekben is használták az Adatok Active Directoryban való kezelésére, az Exchange és az AD-integrációs alkalmazások általi használatra. Most már sok ilyen forgatókönyvet el lehet végezni a felhőből.

Önkiszolgáló csoportkezelés

Engedélyezheti a felhasználóknak, hogy biztonsági csoportokat vagy Microsoft 365-csoportokat/Teamseket hozzanak létre, majd kezelhetik a csoporttagságukat.

Hozzáférési kérelmek többfázisú jóváhagyással

A jogosultságkezelés bevezeti a hozzáférési csomag fogalmát. A hozzáférési csomag az összes olyan erőforrás csomagja, amelynek hozzáférésével a felhasználónak dolgoznia kell egy projekten, vagy el kell végeznie a feladatát, beleértve a csoporttagságokat, a SharePoint Online-webhelyeket vagy az alkalmazásszerepkörökhöz való hozzárendelést. Minden hozzáférési csomag olyan szabályzatokat tartalmaz, amelyek meghatározzák, hogy ki kap automatikusan hozzáférést, és ki kérhet hozzáférést.

Új jelszó önkiszolgáló kérése

A Microsoft Entra önkiszolgáló jelszó-visszaállítás (SSPR) lehetővé teszi a felhasználók számára a jelszó módosítását vagy alaphelyzetbe állítását. Ha hibrid környezettel rendelkezik, konfigurálhatja a Microsoft Entra Connectet arra, hogy jelszómódosítási eseményeket írjon vissza a Microsoft Entra-azonosítóról egy helyi Active Directory.

Következő lépések