Microsoft Identity Manager veri işlemeMicrosoft Identity Manager data handling

Bu makale, kuruluşların birçok bağlı veri kaynağına uygulanabilecek kararlar alma hakkında rehberlik sağlar.This article will provide guidance on how organizations can make decisions that can be applied across many connected data sources. Bu, arama, silme, güncelleştirme ve rapor işlemleri aracılığıyla elde edilebilir.This can be achieved through the search, delete, update, and report operations. Silme veya güncelleştirme yaklaşımınıza karar vermeden önce, kimlik yöneticisi sisteminizin (MıM) geçerli tasarımını ve yapılandırmasını anlamak çok önemlidir.Before deciding on your approach of deleting or updating, an understanding of the current design and configuration of your identity manager system (MIM) is critical.

Aşağıda, müşterilerin aşağıdaki soruları göz önünde bulundurmanız ve yanıtlaması gereken birkaç senaryo vardır:Below are a few scenarios customers will need to consider and answer the following questions:

  • İş süreciyle ilgili yardım için kimlik yönetimi için hangi verileri kullanmanız gerekir?What data do you need for you identity management to help with business process?
  • Güncel veriler MıM 'de depolanacak mi?Where is current data going to be stored in MIM?
  • Bu verileri sistemde nasıl kullanacaksınız?How do will you use this data in the system?
  • Bu verileri herhangi bir dış iş ortağı veri kaynağıyla paylaşıyorsunuz (dışarı aktarma)Are you sharing this data with any external partners data sources(Exporting)
  • Verilerin yetkili kaynağı ve işlenmesi nedir?What is the Authoritative source for the data and the processing of it?
  • Veri saklama ve veri silme planınız ne olur?What will your data retention and data deletion plan in place?
  • Verileri işlemek ve yönetmek için ihtiyacınız olan tüm teknolojiyi tanımladınız mı?Have you identified all the technology you need to process and manage data?

Geçerli bir MıM ortamını anlamanıza yardımcı olmak için aşağıdaki Aracı, MıM ortamınızı belgelemek veya uygulama tasarım belgelerinize erteleyebilirsiniz.To help you understand a current MIM environment you can utilize the following tool to document your MIM environment, or defer to your implementation design documents.

Kişisel verileri arama ve tanımlamaSearching for and identifying personal data

MıM içinde veri arama, yapılandırmaya ve kuruluma göre değişir.Searching data within MIM will be dependent on the configuration and setup. Çoğu ortam birbirine bağlı, ancak netlik için üst düzey bileşen tarafından çıkardık.Most environments are interconnected but for clarity we broke them out by high-level component.

Eşitleme HizmetiSynchronization Service

MıM 'deki kullanıcılarla ilgili tüm veriler Active Directory (AD) ve ık veri kaynaklarından türetilir.All data in MIM that relates to users is derived from Active Directory (AD) and HR Data sources. Kişisel veriler aranırken, aramayı düşünmeniz gereken ilk yer, AD veya bağlı veri kaynaklarıdır.When searching for personal data, the first place you should consider searching is AD or connected data sources.

Bu kullanıcıyı, yetkilinin kaynağını MıM Synchronization Service Manager konsolundan izleyebilmeniz durumunda, veritabanında depolanan tanınabilir kişisel verileri görüntülemek için Metadize arama çubuğuna tıklayın.If you're not sure the source of authority you can track this user from the MIM Synchronization Service Manager console, click the Metaverse Search bar to view the identifiable personal data that is stored in the database. Kullanıcılar belirli bir kullanıcı veya öznitelik arayabilir.Users can search for a specific user or attribute.

  • Kullanıcı nesneleri verilerini gözden geçirme veya arama gerçekleştirmek içinTo perform a review or search of user objects data
    • Eşitleme hizmeti istemcisini açınOpen the synchronization service client
      • Meta veri deposu tasarımcısının kullanılması, öznitelik akışı içeri aktarmalarını ve önceliğini görmenizi sağlar.Using the metaverse designer allow you to see attribute flow imports and precedence. mim-privacy-compliance_1.PNGmim-privacy-compliance_1.PNG
      • Meta veri deposu aramasının kullanılması, veritabanı içinde herhangi bir nesne ve öznitelik üzerinde arama yapmanıza olanak tanır mim-privacy-compliance_2.PNGUsing the metaverse search allows you to search on any object and attribute within the database mim-privacy-compliance_2.PNG

Nesneyi bulduktan sonra, nesnesine tıkladığınızda Kullanıcı profili sayfası açılır.After finding the object, clicking on the object will open the user profile page. Nesne ayrıntıları size nesne, öznitelikleri, son değiştirilme ve yetki kaynağı hakkında kapsamlı Ayrıntılar ve aşağıdaki yönetim Aracısı yapılandırma örneğinde türetilmiş bağlantılı veri kaynağı sağlar.The object details provide you with the comprehensive details about the object, its attributes, last modified and source of authority, and related connected data source derived from management agent configuration example below.

mim-privacy-compliance.PNG

Hizmet ve Portal/PAMService and Portal / PAM

Bir hizmet örneğiniz varsa ve portal veya PAM, kullanıcılar için arama yapabilmelidir.If you have an instance of the Service and Portal or PAM installed being able to search for users is important.

Portalı yüklediyseniz, belirli bir kullanıcı için herhangi bir öznitelik veya sorgu üzerinde arama yapmak üzere Kullanıcı arabirimini kullanabilirsiniz.If you installed the Portal, you can use the UI to search on any attribute or query for a particular user.

Yalnızca hizmet sunucusu (Portal Kullanıcı arabirimi olmadan) yüklüyse, [FIMAutomation PSSnapin] temel alınarak bir arama söz dizimi çalıştırabilirsiniz, burada bulunan örnek buradabulunur.If you only have the service server(without Portal UI) installed you can run a search syntax based on the [FIMAutomation PSSnapin], Example found here.

PAM yukarıda aynı sözdizimini kullanabilir veya PAM ortamında kullanıcıyı aramak için Mımphar modülünü özellikle Get-PAMUser cmdlet 'ini kullanabilirsiniz.PAM can use the same syntax above or you can use the MIMPAM Module specifically the get-pamuser cmdlet to search for the user within the PAM environment.

Kullanılabilir verileri aramak için diğer raporlama seçenekleri hizmet ve portalda bulunur.Other reporting options to search on available data is in the service and portal.

BHOLDBHOLD

BHOLD çekirdek hizmeti, bir kullanıcı veya öznitelik aramanızı sağlayan bir Kullanıcı ARABIRIMINE sahiptir.Bhold Core service has a UI that allows you to search for a user or attributes.

BHOLD araması

Eşitleme hizmeti için erişim yönetimi Bağlayıcısı Ile BHOLD eşitliyorsanız, bağlı kullanıcı nesnelerini ve BHOLD çekirdeğlerine gönderdiğiniz öznitelikleri görebilirsiniz.If you are synchronizing BHOLD with access management connector for synchronization service you will be able to see the connected user objects and the attributes your sending to BHOLD core.

Ayrıca BHOLD raporlama modülünü de yükleyebilirsiniz.Also you can load the BHOLD Reporting module.

Sertifika YönetimiCertificate Management

Sertifika yönetimi hizmeti arama, Kullanıcı arabiriminde yerleşik olarak bulunur.Certificate management service search is built into the UI. Yönetici, ' Kullanıcı bul ve bilgilerini görüntüle veya Yönet ' ' i başlatıp seçer.The administrator will launch and select the 'Find user and view or manage their information'

cm arama

Kişisel verileri dışarı aktarmaExporting personal data

MıM 'deki varlıklarla ilgili veriler birden çok kaynaktan türetildiğinden, çoğu veri eşitleme hizmeti veritabanında depolanır.Because the data related to entities in MIM is derived from multiple sources, most data is stored in the Synchronization Service database. Bu nedenle, MıM eşitlemeden nesneyle ilgili verileri dışarı aktarmanız veya bu verilerin sahibini belirleyebilmelisiniz.For this reason, you should export object-related data from MIM Sync or you can determine the owner of this data.

Eşitleme HizmetiSynchronization Service

Verileri dışarı aktarmaya yönelik Eşitleme Hizmetleri yalnızca arama kullanıcı arabiriminden verileri seçip CSV veya tercih edilen bir biçime kopyalayıp yapıştırmaktır.Synchronization services for exporting data simply select the data from the search UI and copy and paste into a csv or preferred format. Bu verileri dışa aktarmanın başka bir yolu da, bir ilgi çekici Kullanıcı hakkında gereken geçerli verileri bırakmaya yönelik dosya tabanlı bir MA oluşturmaktır.Another way to export this data is to create a File-based MA to drop current data needed about a flagged user of interest. Dosya tabanlı MA kullanan bir çaya, buradabulunabilir.An exmaple of using file-based MA can be found here.

Hizmet ve Portal/PAMService and Portal / PAM

Hizmet ve Portal PAM ile birlikte, bu verileri dışarı aktarabilirsiniz [FIMAutomation PSSnapin] temel alınarak bir arama söz dizimi çalıştırabilir, burada bulunan örnek burada bulunabilir ve bunu CSV'ye yöneltmeyi sağlayabilirsiniz.Service and portal along with PAM you can export this data run a search syntax based on the [FIMAutomation PSSnapin], Example found here and pipe it to csv.

PAM yukarıda aynı söz dizimini kullanabilir veya PAM ortamında kullanıcıyı aramak ve bir CSV 'ye kanala yönelbilmeniz için Mımphar modülünü özel olarak Get-PAMUser ' i kullanabilirsiniz.PAM can use the same syntax above or you can use the MIMPAM Module specifically the get-pamuser to search for the user within the PAM environment and pipe it to a csv.

BHOLDBHOLD

BHOLD verileri, BHOLD raporlama modülü kullanılarak tercih edilebilir biçime aktarılabilir.Bhold data can be exported using the Bhold reporting module to your preferred format.

Sertifika YönetimiCertificate Management

Kişisel verilerle ilgili sertifika yönetimi verileri Active Directory 'ye bağlıdır.Certificate management data related to personal data is connected to active directory. Yönetici, Active Directory PowerShell kullanarak bu verileri dışarı aktarabilir.An administrator can export this data using Active Directory PowerShell.

Kişisel verileri güncelleştirmeUpdating personal data

MıM çözümlerinde kullanıcılar veya nesneler hakkında kişisel veriler genellikle kullanıcının kuruluşunuzun bağlı veri kaynaklarındaki nesnesinden türetilir.Personal data about users or objects in MIM Solutions typically is derived from the user's object in your organization's connected data sources. HR kaynağında Kullanıcı profilinde yapılan herhangi bir değişiklik veya AD gibi başka bir yetkili kayıt sistemi de MıM eşitleme hizmeti 'ne yansıtıldığından.Because any changes made to the user profile in HR source, or another authoritative system of record, such as AD are then reflected in MIM Synchronization Service.

Eşitleme HizmetiSynchronization Service

Yönetim işlemlerini gerçekleştirmek için Yöneticiler, buradatanımlanan eşitleme işlemlerinin veya yöneticinin bir parçası olmalıdır.In order to perform management operations, administrators must be part of synchronization operations or admin defined here.

Verilerin güncelleştirilmesi, yetkilendirme kaynağından kurallar tanımlayarak yapılır.Updating of data is done by defining rules from the source of authority. Yönetim Konsolu, kaynağı kaynak üzerinde güncelleştirmek için yetki kaynağını belirlemenize yardımcı olur.Management console helps identify the source of authority to update it at the source. Diğer bir seçenek de, HR verilerinin gibi bir kaynağın kalması gerekiyorsa veri güncelleştirilmesini denetlemek için eşitleme kuralı veya kural uzantısı oluşturur.Another option is create sync rule or rule extention to control the data updating if source like HR data still needs to remain. Bunlar kullanılabilir desteklenen seçeneklerdir.These are available supported options.

Özniteliği güncelleştirmek için farklı yollar hakkında daha fazla bilgi için aşağıya bakın.For more information on different ways to update attribute, see below.

Hizmet ve Portal/PAMService and Portal / PAM

PAM verilerini dahil etmek için hizmet ve Portal, FIMAutomation veya PAM cmdlet 'leri kullanılarak güncelleştirilebilirler.Service and Portal to include PAM data can be updated using the FIMAutomation or PAM cmdlets. Portala sahipseniz, nesneyi arayarak ve değiştirerek de doğrudan güncelleştirme yapabilirsiniz.If you have the Portal, you can also directly update by searching and modify the object. Tek bir şey ve yapılandırmaya bağlı olarak portalın güncelleştirilmesi, kalacağı anlamına gelmez.One thing to note and depending on configuration simply updating from the portal doesn't mean it will remain. Yetkili kaynak olarak genel yapılandırmaya oldukça bağlıdır.As source of authority is highly dependent on overall configuration.

BHOLDBHOLD

Kullanıcılar BHOLD Core Kullanıcı arabirimi veya erişim yönetimi Bağlayıcısı ile doğrudan güncelleştirilebilen olabilir.Users can be directly updated with BHOLD Core user interface or the access management connector.

Sertifika YönetimiCertificate Management

Sertifika yönetimi hizmetindeki kullanıcılar, Active Directory 'deki tüm yansıdır.Users in the certificate management service are all a reflection from active directory. Güncelleştirme Active Directory, nesne ayrıntılarını değiştirmek için kullanın.To update use Active Directory to change object details.

Kişisel verileri silmeDeleting personal data

Not

Bu makale, Microsoft Identity Manager kişisel verileri silmenin yolları hakkında rehberlik sağlar ve GDPR kapsamındaki yükümlülüklerinizi desteklemek için kullanılabilir.This article provides guidance on ways to delete personal data from Microsoft Identity Manager and can be used to support your obligations under the GDPR. GDPR hakkında genel bilgiler arıyorsanız, Hizmet Güveni portalının GDPR bölümüne bakın.If you’re looking for general info about GDPR, see the GDPR section of the Service Trust portal.

MıM 'deki veriler eşitlenir ve her zaman bağlı veri kaynağından güncelleştirilir.Data in MIM is synced and always updated from its connected data source. Hedefte bir nesne silindiğinde, güvenlik araştırması amacıyla nesnenin MıM 'deki verileri korunabilir.When an object is deleted in target, the object's data in MIM can be maintained for purposes of security investigation. Nesne silme, bağlı veri kaynağı kuralları veya kural uzantısı (kod) ve/veya nesne silme kuralları başına yapılandırılır.Object Deletion is configured per connected data source rules or rule extension(code) and/or Object deletion rules.

Eşitleme HizmetiSynchronization Service

Eşitleme hizmeti, verileri işlemenin veya iş süreçlerine bağlı olarak verileri silmenin pek çok yolu olarak.Synchronization Service as many ways to handle data or delete data depending on business processes. Aşağıdaki özelliklere yardımcı olmak için, öznitelikleri silme ve güncelleştirme seçeneklerini anlamanıza yardımcı olacak bazı makaleler verilmiştir:To help understand, below are some articles to help understand options on deleting and updating attributes:

Hizmet ve Portal/PAMService and Portal / PAM

Service & Portal için varsayılan 30 gün sistem kaynağı saklama yapılandırması ' nı tutmanız önerilir.It is recommended for the Service & Portal that you keep the default 30 days system resource retention configuration. Bu, hizmete yalnızca veri ve ayrıca sistemin temizlenmesi gereken herhangi bir nesne değil, ne zaman silineceğini söyler.This tells the service when it will delete, not only request data but also any object that needs to be cleared from the system. İşlem oluştuktan sonra, bu nesneye bağlı tüm veriler silinir, bu da tüm SSPR kayıt verilerini içerir.Once the process occurs, all data linked to this object is deleted this includes all SSPR registration data. Bu, yukarıdaki nesne silme yapılandırmasına oynatılır.This plays into the object deletion configuration above. Tek bir tablonuz, nesnelerin GUID 'sini depoladık.We do have one table were we store the guid of the objects. Build 4.4.1459 içindeki tablonun genel boyutunu azaltmak için, bu işlemde FIM_DeleteExpiredSystemObjectsJob Ayrıntılar adlı bir işlem ekledik buradabulunabilir.To reduce the overall size of the table in build 4.4.1459 we added a process called FIM_DeleteExpiredSystemObjectsJob details on this process can be found here.

mim-privacy-compliance-srrc.PNG

BHOLDBHOLD

Eşitleme hizmetine bağlı çoğu sistem gibi BHOLD, HR gibi kaynak nesne kaldırıldıktan sonra silinecek şekilde yapılandırılabilir.Bhold like most systems connected to the synchronization service can be configured to delete once the source object like HR is removed. Bu, yönetim aracısında yapılandırılır.This is configured on the management agent. ve, eşitleme hizmeti özellikleri altında açıklandığı şekilde nesne silme kuralları tarafından denetlenir.and controlled by the Object Deletion rules as described under the synchronizations service features.

Diğer bir seçenek ise BHOLD Core kullanıcı arabiriminden Kullanıcı nesnesini doğrudan kaldırmaktır.Another option is to remove the user object right from the BHOLD Core User interface. Kuruluma bağlı olarak bu sorun sorunsuz çalışabilir, ancak sağlama mantığı kaynakta silinmediği takdirde bu kullanıcıyı yeniden oluşturabilir.Depending on setup this could work fine but note provisioning logic could re-create this user if not deleted at the source. mim-privacy-compliance-bholdr.PNGmim-privacy-compliance-bholdr.PNG

Sertifika YönetimiCertificate Management

Bir kullanıcıyı CM 'den kaldırmak için, kullanıcının Active Directory 'de olduğunu silin.To remove a user from CM, delete the user is in active directory.

Sertifika yönetimi, yalnızca etki alanı sAMAccountName olan sertifika hizmetlerinden profil UID 'yi depolayacaktır.Certificate management as it will only store the profile uid from certificate services with domain sAMAccountName. Kullanıcı AD 'den silindikten sonra, Kullanıcı önbelleği yalnızca kaydolduğu sertifikalar için bulunur.Once the user is deleted from AD the user cache is only present for the certificates which they have enrolled. Bu, ortamın çalışmasına genel bir zarar oluşmasına neden olabileceği için veritabanındaki herhangi bir şeyi silmenizi önermiyoruz.We do not recommend deleting anything in the database as this can cause overall harm to the operation of the environment.

Telemetriyi devre dışı bırakOpt-out of telemetry

Önceki derlemeler FIM/MıM 'i her dağıtım hakkında anonimleştirilmiş telemetri toplamak ve bu verileri HTTPS üzerinden Microsoft sunucularına iletir.Previous builds FIM/MIM used to collects anonymized telemetry about each deployment and transmits this data over HTTPS to Microsoft servers. Bu veriler, geçmişte FIM/MıM 'in gelecek sürümlerini iyileştirmenize yardımcı olmak üzere Microsoft tarafından kullanıldı.This data was used by Microsoft to help improve future versions of FIM/MIM in the past.

Not

4.5. x. x veya daha büyük veri toplamanın sonraki sürümlerinde devre dışı bırakılacak.In later releases of 4.5.x.x or greater data collection will be disabled.

Önceki sürümde veri toplamayı devre dışı bırakmak için değişiklik modunda aşağıdaki istem seçimini kaldırın:To disable data collection in previous version run change mode and deselect the following prompt:

mim-privacy-compliance-ceip.PNG

veya kayıt defterini düzenleyin ve değeri 0: (bileşen) CEIP HKLM\SOFTWARE\Microsoft\Forefront Identity Manager\2010 olarak ayarlayınor edit the registry and set the value to 0: (Component)CEIP HKLM\SOFTWARE\Microsoft\Forefront Identity Manager\2010

mim-privacy-compliance-ceip2.PNG

Sonraki AdımlarNext Steps