Migration des scénarios de gestion des identités et des accès de Microsoft Identity Manager vers Microsoft Entra

Microsoft Identity Manager est le produit de gestion des identités et des accès hébergés localement par Microsoft. Elle est basée sur la technologie introduite en 2003, améliorée en continu jusqu’à aujourd’hui, et prise en charge avec les services cloud Microsoft Entra. MIM fait partie intégrante de nombreuses stratégies de gestion des identités et des accès, augmentant ainsi les services hébergés dans le cloud de Microsoft Entra ID et d’autres agents locaux.

De nombreux clients ont exprimé l’intérêt de déplacer le centre de leurs scénarios de gestion des identités et des accès entièrement vers le cloud. Certains clients n’auront plus d’environnement local, tandis que d’autres intègrent la gestion des identités et des accès hébergées dans le cloud à leurs applications, répertoires et bases de données locaux restants. Ce document fournit des conseils sur les options et approches de migration pour déplacer des scénarios IAM (Identity and Access Management) de Microsoft Identity Manager vers des services hébergés dans le cloud Microsoft Entra, et sera mis à jour à mesure que de nouveaux scénarios deviennent disponibles pour la migration. Des conseils similaires sont disponibles pour la migration d’autres technologies de gestion des identités locales, notamment la migration à partir d’ADFS.

Vue d’ensemble de la migration

MIM a implémenté les meilleures pratiques de gestion des identités et des accès au moment de sa conception. Depuis lors, le paysage de gestion des identités et des accès a évolué avec de nouvelles applications et de nouvelles priorités métier, et ainsi les approches recommandées pour traiter les cas d’usage IAM seront dans de nombreux cas différents aujourd’hui de ceux précédemment recommandés avec MIM.

En outre, les organisations doivent planifier une approche intermédiaire pour la migration de scénarios. Par exemple, une organisation peut hiérarchiser la migration d’un scénario de réinitialisation de mot de passe en libre-service de l’utilisateur final en une seule étape, puis une fois terminée, déplacer un scénario d’approvisionnement. L’ordre dans lequel une organisation choisit de déplacer ses scénarios dépend de ses priorités informatiques globales et de l’impact sur d’autres parties prenantes, telles que les utilisateurs finaux qui ont besoin d’une mise à jour de formation ou de propriétaires d’applications.

Approvisionnement d'utilisateurs

L’approvisionnement des utilisateurs est au cœur de ce que fait MIM. Qu’il s’agisse d’AD ou d’autres sources RH, l’importation d’utilisateurs, leur agrégation dans le métaverse, puis leur approvisionnement dans différents référentiels est l’une de ses fonctions principales. Le diagramme ci-dessous illustre un scénario d’approvisionnement/synchronisation classique.

À présent, la plupart de ces scénarios d’approvisionnement d’utilisateurs sont disponibles à l’aide de l’ID Microsoft Entra et des offres associées, ce qui vous permet de migrer ces scénarios hors de MIM pour gérer les comptes dans ces applications à partir du cloud.

Les sections suivantes décrivent les différents scénarios d’approvisionnement.

Approvisionnement à partir de systèmes RH cloud vers Active Directory ou Microsoft Entra ID avec des flux de travail de jointure/congé

Que vous souhaitiez approvisionner directement à partir du cloud vers Active Directory ou Microsoft Entra ID, vous pouvez effectuer cette opération à l’aide d’intégrations intégrées à l’ID Microsoft Entra. Les didacticiels suivants fournissent des conseils sur l’approvisionnement directement à partir de votre source RH vers AD ou Microsoft Entra ID.

• Tutoriel : Configurer Workday pour le provisionnement automatique d’utilisateurs
• Tutoriel : Configurer l’approvisionnement d’utilisateurs Workday sur Microsoft Entra

La plupart des scénarios RH cloud impliquent également l’utilisation de flux de travail automatisés. Certaines de ces activités de flux de travail développées à l’aide de la bibliothèque d’activités de flux de travail pour MIM peuvent être migrées vers des flux de travail de cycle de vie de gouvernance d’ID Microsoft. La plupart de ces scénarios réels peuvent désormais être créés et gérés directement à partir du cloud. Pour plus d’informations, consultez la documentation suivante.

• Que sont les workflows de cycle de vie ?
• Automatiser l’intégration des employés
• Automatiser l’intégration des employés

Approvisionnement d’utilisateurs à partir de systèmes RH locaux vers l’ID Microsoft Entra avec des flux de travail de jointure/de congé

Les clients qui utilisent SAP Human Capital Management (HCM) et qui ont SAP SuccessFactors peuvent intégrer des identités à Microsoft Entra ID en utilisant SAP Integration Suite pour synchroniser des listes de Workers entre SAP HCM et SAP SuccessFactors. À partir de là, vous pouvez intégrer des identités directement dans Microsoft Entra ID ou les approvisionner dans Active Directory Domain Services.

À l’aide du provisionnement entrant piloté par l’API, il est désormais possible de provisionner des utilisateurs directement à l’ID Microsoft Entra à partir de votre système RH local. Si vous utilisez actuellement un MIM pour importer des utilisateurs à partir d’un système RH, puis les approvisionner vers l’ID Microsoft Entra, vous pouvez désormais utiliser la génération d’un connecteur d’approvisionnement entrant basé sur l’API personnalisée pour y parvenir. L’avantage de l’utilisation du connecteur d’approvisionnement piloté par l’API pour y parvenir sur MIM est que le connecteur d’approvisionnement piloté par l’API a beaucoup moins de surcharge et une empreinte beaucoup plus petite localement, par rapport à MIM. En outre, avec le connecteur d’approvisionnement piloté par l’API, il peut être géré à partir du cloud. Pour plus d’informations sur l’approvisionnement piloté par l’API, consultez les rubriques suivantes.

• Concepts d’approvisionnement entrant pilotés par les API
• Permettre aux intégrateurs système de créer davantage de connecteurs aux systèmes d’enregistrement
• Configurer l’application d’approvisionnement entrant pilotée par l’API

Ils peuvent également tirer parti des flux de travail de cycle de vie.

• Que sont les workflows de cycle de vie ?
• Automatiser l’intégration des employés
• Automatiser l’intégration des employés

Approvisionnement d’utilisateurs de Microsoft Entra ID vers des applications locales

Si vous utilisez MIM pour approvisionner des utilisateurs vers des applications telles que SAP ECC, pour des applications qui ont une API SOAP ou REST, ou pour des applications avec une base de données SQL sous-jacente ou un répertoire LDAP non AD, vous pouvez désormais utiliser le provisionnement d’applications local via l’hôte du connecteur ECMA pour accomplir les mêmes tâches. L’hôte du connecteur ECMA fait partie d’un agent léger et vous permet de réduire votre empreinte MIM. Si vous avez des connecteurs personnalisés dans votre environnement MIM, vous pouvez migrer leur configuration vers l’agent. Pour plus d’informations, consultez la documentation ci-dessous.

• Architecture d’application d’approvisionnement locale
• Approvisionnement d’utilisateurs sur des applications compatibles SCIM
• Approvisionnement d’utilisateurs dans des applications SQL
• Approvisionnement d’utilisateurs dans des répertoires LDAP
• Approvisionnement d’utilisateurs dans un répertoire LDAP pour l’authentification Linux
• Approvisionnement d’utilisateurs dans des applications à l’aide de PowerShell
• Approvisionnement avec le connecteur de services web
• Approvisionnement avec les connecteurs personnalisés

Approvisionner des utilisateurs dans des applications SaaS cloud

L’intégration à des applications SaaS est nécessaire dans le monde du cloud computing. De nombreux scénarios d’approvisionnement exécutés par MIM pour les applications SaaS peuvent désormais être effectués directement à partir de l’ID Microsoft Entra. Une fois configuré, l’ID Microsoft Entra approvisionne et déprovisionne automatiquement les utilisateurs vers des applications SaaS à l’aide du service d’approvisionnement Microsoft Entra. Pour obtenir la liste complète des didacticiels sur les applications SaaS, consultez le lien ci-dessous.

• Tutoriels pour l’intégration à des applications SaaS

Approvisionner des utilisateurs et des groupes sur de nouvelles applications personnalisées

Si votre organisation crée de nouvelles applications et nécessite la réception d’informations d’utilisateur ou de groupe ou de signaux lorsque les utilisateurs sont mis à jour ou supprimés, nous vous recommandons d’utiliser l’application Microsoft Graph pour interroger Microsoft Entra ID ou utiliser SCIM pour être automatiquement approvisionné.

• À l’aide de l’API Microsoft Graph
• Développer et planifier l’approvisionnement pour un point de terminaison SCIM dans Microsoft Entra ID
• Approvisionnement d’utilisateurs sur des applications compatibles SCIM qui sont locales

Scénarios de gestion de groupe

Historiquement, les organisations ont utilisé MIM pour gérer des groupes dans AD, y compris des groupes de sécurité AD et des DLL Exchange, qui ont ensuite été synchronisés via Microsoft Entra Connect à Microsoft Entra ID et Exchange Online. Les organisations peuvent désormais gérer des groupes de sécurité dans Microsoft Entra ID et Exchange Online, sans avoir à créer de groupes dans Active Directory local.

Groupes dynamiques

Si vous utilisez MIM pour l’appartenance à un groupe dynamique, ces groupes peuvent être migrés pour être des groupes dynamiques Microsoft Entra ID. Avec les règles basées sur des attributs, les utilisateurs sont automatiquement ajoutés ou supprimés en fonction de ces critères. Pour plus d’informations, consultez la documentation suivante.

• Créer ou mettre à jour un groupe dynamique dans Microsoft Entra ID

Mise à disposition des groupes pour les applications basées sur AD

La gestion des applications locales avec des groupes Active Directory approvisionnés et gérés dans le cloud peut désormais être effectuée avec la synchronisation cloud Microsoft Entra. Maintenant, la synchronisation cloud Microsoft Entra vous permet de régir entièrement les attributions d’applications dans AD tout en tirant parti des fonctionnalités de Gouvernance des ID Microsoft Entra pour contrôler et corriger toutes les demandes associées à l’accès.

Pour plus d’informations, consultez Govern Active Directory local based apps (Kerberos) using Gouvernance des ID Microsoft Entra.

Scénarios en libre-service

MIM a également été utilisé dans des scénarios en libre-service pour gérer les données dans Active Directory, pour une utilisation par les applications exchange et intégrées à AD. À présent, la plupart de ces mêmes scénarios peuvent être réalisés à partir du cloud.

Gestion des groupes en libre service

Vous pouvez autoriser les utilisateurs à créer des groupes de sécurité ou des groupes Microsoft 365/Teams, puis à gérer l’appartenance de leur groupe.

• Scénarios de gestion de groupe en libre-service

Demandes d’accès avec approbations à plusieurs étapes

La gestion des droits d'utilisation introduit le concept de package d'accès. Un package d’accès est un ensemble de toutes les ressources avec l’accès dont l’utilisateur a besoin pour travailler sur un projet ou effectuer sa tâche, y compris l’appartenance à des groupes, des sites SharePoint Online ou l’affectation aux rôles d’application. Chaque package d’accès inclut des stratégies qui spécifient qui obtient automatiquement l’accès et qui peut demander l’accès.

• Présentation de la gestion des droits d’utilisation

Réinitialisation de mot de passe en libre-service

Microsoft Entra libre-service password reset (SSPR) permet aux utilisateurs de modifier ou de réinitialiser leur mot de passe. Si vous disposez d’un environnement hybride, vous pouvez configurer Microsoft Entra Connect pour écrire des événements de modification de mot de passe de Microsoft Entra ID vers un Active Directory local.

• Réinitialisation de mot de passe en libre-service

Étapes suivantes

• Guides d’architecture d’identité
• Ressources pour la gestion des applications vers l’ID Microsoft Entra
• Migrer des applications ADFS.