Microsoft Identity Manager によるデータの処理

この記事では、組織がどのように多数の接続されているデータ ソース間で適用できる意思決定を行うのかのガイダンスが提供されます。 これは、検索、削除、更新、およびレポートの操作により実現することができます。 削除または更新の方法を決定する前に、ID マネージャー システム (MIM) の現在の設計と構成を理解することが重要です。

ユーザーは以下の質問を検討して答える必要があります。

  • ビジネス プロセスを支援するため、ID 管理にはどのようなデータが必要ですか。
  • 現在のデータは MIM のどこに格納されますか。
  • このデータはシステムでどのように使われますか。
  • このデータは外部パートナーのデータ ソースと共有していますか (エクスポート)。
  • データとその処理に対して権限を持っているソースは何ですか。
  • どのようなデータ保有およびデータ削除計画が実施されますか。
  • データの処理と管理に必要なすべてのテクノロジを明らかにしましたか。

現在の MIM 環境を理解するには、次のツールを使って MIM 環境を文書化できます。または、実装設計ドキュメントを参照してください。

個人データの検索および特定

MIM 内のデータの検索は、構成や設定に依存します。 ほとんどの環境は相互接続されていますが、わかりやすくするために上位レベルのコンポーネントに分けました。

同期サービス

ユーザーに関連する MIM 内のすべてのデータは、Active Directory (AD) や人事データ ソースから派生します。 個人データを検索するときは、まず AD または接続されたデータ ソースを検索することを検討してください。

信頼できる情報源が不明な場合は、MIM Synchronization Service Manager コンソールからユーザーを追跡できます。メタバース検索バーをクリックすると、データベースに格納されている識別可能な個人データが表示されます。 ユーザーは特定のユーザーまたは属性を検索できます。

  • ユーザー オブジェクト データのレビューまたは検索を実行するには
    • 同期サービス クライアントを開きます
      • メタバース デザイナーを使うと、属性フローのインポートと優先順位を参照できます。 mim-privacy-compliance_1.PNG
      • メタバース検索を使用すると、データベース内の任意のオブジェクトと属性を検索できmim-privacy-compliance_2.PNG

オブジェクトを検索した後、オブジェクトをクリックするとユーザー プロファイル ページが開きます。 オブジェクトの詳細では、オブジェクト、その属性、最後の変更、信頼できるソース、および以下の例の管理エージェント構成から派生した関連する接続されたデータ ソースに関する包括的詳細が提供されます。

mim-privacy-compliance.PNG

サービスおよびポータル/PAM

サービスとポータルまたは PAM のインスタンスがインストールされている場合、ユーザーを検索できることが重要です。

ポータルをインストールした場合、UI を使って、任意の属性を検索したり、特定のユーザーをクエリしたりできます。

サービス サーバーのみをインストールした場合は (ポータル UI なし)、[FIMAutomation PSSnapin] に基づいて検索構文を実行できます。例はこちらにあります。

PAM は上記と同じ構文を使用できます。または、MIMPAM モジュール (具体的には get-pamuser コマンドレット) を使って、PAM 環境内のユーザーを検索できます。

使用可能なデータを検索するための他のレポート オプションは、サービスとポータルです。

BHOLD

BHOLD コア サービスの UI を使うと、ユーザーまたは属性を検索できます。

BHOLD の検索

BHOLD と同期サービスの Access Management Connector を同期している場合、接続されているユーザー オブジェクトおよび BHOLD コアに送信している属性を表示できます。

また、BHOLD Reporting モジュールを読み込むことができます。

証明書の管理

証明書管理サービスの検索が UI に組み込まれています。 管理者は起動して [ユーザーを検索してユーザー情報を表示または管理] を選びます。

CM 検索

個人データのエクスポート

MIM 内のエンティティに関連するデータは複数のソースから派生するため、ほとんどのデータは同期サービス データベースに格納されます。 このため、MIM 同期からオブジェクト関連データをエクスポートする必要があります。または、このデータの所有者を決定できます。

同期サービス

データ エクスポート用の同期サービスは、検索 UI からデータを選択し、コピーして csv や推奨される形式に貼り付けるだけです。 このデータをエクスポートするもう 1 つの方法は、ファイル ベースの MA を作成して、関心対象のフラグが設定されたユーザーに関して必要な現在のデータをドロップします。 ファイル ベースの MA の使用例はこちらにあります。

サービスおよびポータル/PAM

サービスとポータルおよび PAM を使って、このデータをエクスポートできます。[FIMAutomation PSSnapin] に基づく検索構文を実行し (例はこちら)、それを csv にパイプします。

PAM は上記と同じ構文を使用できます。または、MIMPAM モジュール (具体的には get-pamuser) を使って、PAM 環境内のユーザーを検索し、それを csv にパイプできます。

BHOLD

BHOLD データは、BHOLD レポート モジュールを使って好みの形式にエクスポートできます。

証明書の管理

個人データに関連する証明書管理データは、Active Directory に接続されています。 管理者は、Active Directory PowerShell を使ってこのデータをエクスポートできます。

個人データの更新

通常、MIM ソリューション内のユーザーまたはオブジェクトに関する個人データは、組織の接続されたデータ ソース内のユーザーのオブジェクトから取得されます。 HR ソース、または AD などの別の権限のあるレコード システムの、ユーザー プロファイルに対して行われた変更は、MIM 同期サービスにおいて反映されます。

同期サービス

管理操作を実行するには、管理者は同期操作またはこちらで定義されている管理者の一部である必要があります。

データの更新は、権限のあるソースからの規則を定義することによって行われます。 管理コンソールは、ソースにおいてデータを更新するための権限のあるソースを識別するのに役立ちます。 もう 1 つのオプションは、HR データなどのソースを維持する必要がある場合にデータ更新を制御するための同期規則や規則の拡張を作成することです。 これらは、サポートされている使用可能なオプションです。

属性を更新するさまざまな方法について詳しくは、以下をご覧ください。

サービスおよびポータル/PAM

PAM データを含めるためのサービスおよびポータルは、FIMAutomation または PAM コマンドレットを使って更新できます。 ポータルを使っている場合は、オブジェクトを検索して変更することにより直接更新することもできます。 注意する必要があるのは、構成によっては、ポータルから更新するだけではそれが残っていることを意味しないことです。 権限のあるソースは、全体の構成に大きく依存します。

BHOLD

BHOLD コアのユーザー インターフェイスまたは Access Management Connector を使って、ユーザーを直接更新することができます。

証明書の管理

証明書管理サービス内のユーザーはすべて、Active Directory からの反映です。 更新するには、Active Directory を使ってオブジェクトの詳細を変更します。

個人データの削除

Note

この記事は、Microsoft Identity Manager から個人データを削除する方法についてのガイダンスを提供し、GDPR での義務をサポートするために使用できます。 GDPR に関する一般情報については、Service Trust Portal の GDPR セクションをご覧ください。

MIM 内のデータは接続されているデータ ソースから同期されて、常に更新されます。 ターゲット内のオブジェクトが削除されたときに、セキュリティ調査のために MIM 内のオブジェクトのデータを保持できます。 オブジェクトの削除は、接続されているデータ ソースの規則または規則の拡張 (コード) およびオブジェクトの削除ルールに従って構成されます。

同期サービス

同期サービスは、ビジネス プロセスに応じて、さまざまな方法でデータを処理またはデータを削除します。 属性の削除と更新のオプションの理解に役立つ記事を以下に示します。

サービスおよびポータル/PAM

サービスポータルでは & 、既定の30日間のシステムリソース保有期間の構成を保持することをお勧めします。 これにより、サービスが削除されるときに、要求データだけでなく、システムから消去する必要のあるオブジェクトも指定されます。 プロセスが発生すると、このオブジェクトにリンクされているすべてのデータが削除され、これにはすべての SSPR 登録データが含まれます。 これは、上記のオブジェクト削除構成に関わります。 オブジェクトの GUID が格納されているテーブルがあります。 ビルド 4.4.1459 でテーブルの全体サイズを小さくするため、FIM_DeleteExpiredSystemObjectsJob というプロセスが追加されました。このプロセスについて詳しくは、こちらをご覧ください。

mim-privacy-compliance-srrc.PNG

BHOLD

BHOLD は、同期サービスに接続されているほとんどのシステムと同様に、HR などのソース オブジェクトが削除されたら削除されるように構成できます。 これは、管理エージェントで構成されます。 そして、同期サービス機能で記述されているオブジェクト削除規則によって制御されます。

もう 1 つのオプションは、BHOLD コア ユーザー インターフェイスから直接ユーザー オブジェクトを削除することです。 セットアップによってはこれでうまくいきますが、ソースで削除されていないとプロビジョニング ロジックがこのユーザーを再作成する場合があることに注意してください。 mim-privacy-compliance-bholdr.PNG

証明書の管理

CM からユーザーを削除するには、Active Directory でユーザーを削除します。

証明書の管理は、ドメインの sAMAccountName で証明書サービスからのプロファイル uid のみを保存します。 AD からユーザーが削除されると、ユーザー キャッシュは登録されている証明書に対してのみ存在します。 データベースからは何も削除しないことをお勧めします。環境の動作全体に悪影響がある可能性があります。

製品利用統計情報のオプトアウト

FIM/MIM の以前のビルドは、各展開に関する匿名の製品利用統計情報を収集し、そのデータを HTTPS で Microsoft サーバーに転送しました。 このデータは、マイクロソフトが過去に FIM/MIM の以降のバージョンを向上するために使われました。

Note

リリース 4.5.x.x 以降では、データ収集は無効になります。

以前のバージョンでデータ収集を無効にするには、変更モードを実行して、次のプロンプトを選択解除します。

mim-privacy-compliance-ceip.PNG

または、レジストリを編集し、次の値を 0 に設定します。(Component)CEIP HKLM\SOFTWARE\Microsoft\Forefront Identity Manager\2010

mim-privacy-compliance-ceip2.PNG

次のステップ