解决方案

本文提出的解决方案能够使您：

• 将身份与记录管理系统连接
• 在 Active Directory 域服务（AD DS）和Microsoft Entra ID 之间同步标识
• 自动将用户预配到非Microsoft应用程序中

将身份与记录管理系统连接

在大多数设计中，人力资源（HR）系统是新创建的数字标识的权威来源。 HR 系统通常是许多预配过程的起点。 例如，如果新用户加入公司，则他们在 HR 系统中有一条记录。 该用户可能需要帐户才能访问 Microsoft 365 个服务（如 Teams 和 SharePoint）或非Microsoft应用程序。

将标识与云 HR 同步

Microsoft Entra 预配服务使组织能够 将常用 HR 系统的标识直接引入到 Microsoft Entra ID 或 AD DS 中。 此预配功能使新员工能够从第一天开始访问所需的资源。

本地部署 HR系统 + 整合多个数据源

若要为员工标识创建完整的用户配置文件，组织通常会合并来自多个 HR 系统、数据库和其他用户数据存储的信息。 MIM 提供一组丰富的 连接器 和集成解决方案，可与本地和云中的异类平台互操作。

MIM 为需要从多个源进行数据转换和合并的高级方案提供 规则扩展 和 工作流功能 功能。 这些连接器、规则扩展和工作流功能使组织能够聚合 MIM Metaverse 中的用户数据，从而为每个用户形成单个标识。 可以将标识 预配到下游系统 ，例如 AD DS。

在 Active Directory 域服务（AD DS）和Microsoft Entra ID 之间同步标识

当客户将应用程序移动到云中，并与 Microsoft Entra ID 集成时，用户通常需要Microsoft Entra ID 中的帐户，Microsoft Windows Server Active Directory 来访问其工作的应用程序。 下面是需要在 Microsoft Windows Server Active Directory 和 Microsoft Entra ID 之间同步对象的五种常见方案。

同步场景根据所需的方向进行分类，列出了从一到五。 请根据以下场景中的表格来确定哪些技术解决方案提供了同步功能。

使用接下来两部分中的编号章节参照下列表格。

将标识从 AD DS 同步到 Microsoft Entra ID

1. 对于使用 Windows Server Active Directory 并需要访问 Office 365 或其他连接到 Microsoft Entra ID 的应用程序的用户来说，Microsoft Entra Connect 云同步是首先要探索的解决方案。 它提供了一种轻型解决方案，用于在 Microsoft Entra ID 中创建用户、管理密码休息和同步组。 配置和管理主要在云中完成，最大限度地减少本地占用空间。 它提供高可用性和自动故障转移，确保密码重置和同步继续，即使本地服务器出现问题。

2. 对于复杂的大规模Microsoft Windows Server Active Directory 到 Azure AD Sync 要求，例如同步大型组（超过 50,000 个成员）和设备同步，请使用 Microsoft Entra Connect Sync。

将标识从 Microsoft Entra ID 同步到 AD DS

当客户将标识管理转换为云时，Microsoft Entra ID 中直接创建更多用户和组。 因此，它们仍然需要在 AD DS 中进行本地部署，以访问各种资源。

3. 使用 B2B 在 Microsoft Entra ID 中创建来自合作伙伴组织的外部用户时，MIM 可以自动将其预配 到 AD DS 中，并授予这些来宾访问 本地 Windows-Integrated 身份验证或基于 Kerberos 的应用程序的访问权限。 或者，客户可以使用 PowerShell 脚本 在本地自动创建来宾帐户。

4. 在 Microsoft Entra ID 中创建组时，可以使用 Microsoft Entra Connect Sync 自动同步到 AD DS。

5. 当用户需要访问仍依赖于旧访问协议（例如 LDAP 和 Kerberos/NTLM）的云应用时， Microsoft Entra 域服务 在 Microsoft Entra ID 与托管Microsoft Windows Server Active Directory 域之间同步标识。

该表描述了常见方案和推荐的技术。

将用户自动预配到非Microsoft应用程序中

通过 HR 预配或 Microsoft Entra Connect 云同步/Microsoft Entra Connect Sync 将标识导入 Microsoft Entra ID 后，员工可以使用该标识访问 Teams、SharePoint 和 Microsoft 365 应用程序。 但是，员工仍需要访问许多Microsoft应用程序才能执行其工作。

自动预配支持 SCIM 标准的应用和云

Microsoft Entra ID 支持跨域标识管理（SCIM）（SCIM 2.0）标准，并与数百种常用软件即服务（SaaS）应用程序集成。 应用程序开发人员可以使用 System for Cross-Domain Identity Management （SCIM） 用户管理 API 在 Microsoft Entra ID 与应用程序之间自动预配用户和组。

除了预先集成的图库应用程序，Microsoft Entra ID 还支持配置到启用了 SCIM 的业务应用程序，无论是 在本地 托管还是在云中。 Microsoft Entra 预配服务在这些应用程序中创建用户和组，并管理更新，例如当用户被提升或离开公司时）。

了解有关预配到已启用 SCIM 的应用程序的详细信息

自动化配置本地应用程序

许多应用程序不支持 SCIM 标准，并且客户以前使用为 MIM 开发的连接器来连接到它们。 Microsoft Entra 预配服务支持重用为 MIM 生成的连接器，而无需 MIM 同步部署。 这将打开与各种本地和 SaaS 应用程序的连接。

详细了解 本地应用程序预配

使用合作伙伴开发的集成

Microsoft合作伙伴开发了 SCIM 网关，使你可以在 Microsoft Entra ID 与各种系统（例如大型机、HR 系统和旧数据库）之间同步用户。 下图中，SCIM 网关由合作伙伴生成和管理。

管理本地应用密码

许多应用程序都有一个本地身份验证存储和一个用户界面 (UI)，该界面仅将用户提供的凭据与该存储进行检查。 因此，这些应用程序无法通过 Microsoft Entra ID 支持多重身份验证（MFA），并构成安全风险。 Microsoft建议为所有应用程序启用单一登录和多重身份验证。 根据我们的研究，如果使用 多重身份验证，你的帐户超过 99.9% 不太可能遭到入侵。 但是，如果应用程序无法外部化身份验证，客户可以使用 MIM 将这些应用程序的密码更改同步到这些应用程序。

详细了解 MIM 密码更改通知服务

根据组织数据为用户定义和预配访问权限

MIM 使你能够导入组织数据，例如作业代码和位置。 然后，该信息可用于自动为该用户设置访问权限。

自动执行常见业务工作流

将用户预配到 Microsoft Entra ID 后，使用生命周期工作流（LCW）在用户生命周期的关键时刻（例如联接器、移动器和离开器）自动执行相应的操作。 这些自定义工作流可由 Microsoft Entra LCW 自动触发，也可以按需启用或禁用帐户、生成临时访问通行证、更新 Teams 或组成员身份、发送自动电子邮件和触发逻辑应用。 这有助于组织确保：

• 加入者： 当用户加入组织时，他们在第一天就已准备就绪。 他们对所需的信息和应用程序具有正确的访问权限。 他们拥有执行其工作所需的硬件。

• 离职人员： 当用户因各种原因（终止、离职、休假或退休）离开公司时，需及时吊销其访问权限。

详细了解 Microsoft Entra 生命周期工作流

直接在目标系统中对更改进行整合

组织通常需要完整的审核线索，了解用户有权访问包含受监管数据的应用程序。 若要提供审核线索，直接提供给用户的任何访问权限都必须通过记录系统进行跟踪。 MIM 提供对账功能，用于检测直接在目标系统中所做的更改并回滚这些更改。 除了检测目标应用程序中的更改外，MIM 还可以将标识从第三方应用程序导入到 Microsoft Entra ID。 这些应用程序通常会增强源自 HR 系统的用户记录集。

后续步骤

1. 使用Microsoft Entra 应用库中的任何应用程序自动预配，支持 SCIM、 SQL 或 LDAP。
2. 评估 Microsoft Entra Connect 云同步 ，以便在 AD DS 与 Microsoft Entra ID 之间进行同步
3. 将 Microsoft Identity Manager 用于复杂的预配方案