Hoppa till huvudinnehåll
Säkerhet 2025-06-09

Kan jag ersätta MIM med Entra?

Att MIM efter sina drygt 20 år i trogen tjänst är på väg mot end-of-life är ett välkänt faktum, och även om Microsoft flyttade fram det ursprungliga slutdatumet från 2026 till 2029 så kan vi nog vara ganska säkra på att det är 2029 som gäller som slutdatum. Men kan Entra ersätta MIM? Vi säger ja, med vår hjälp.

Patrik Calegren, Erbjudandeansvarig, identitetshantering
Patrik Calegren
Security Architect, Digital Workplace
Olof Ottensten
Lösningsarkitekt

Vi tänkte kika lite närmare på hur Microsofts Entra-plattform skulle kunna agera ersättare till MIM för identitetshantering. Vid en första anblick så tänker du kanske att MIM löser andra saker än vad Entra gör, och det finns absolut stora skillnader mellan plattformarna. Entra har dock mycket överlappande funktioner och kan dessutom göra mycket annat som MIM aldrig någonsin kunnat hjälpa till med.

Det här finns i Entra

Låt oss dyka in lite och kika på vad som finns tillgängligt. För att ladda in data från källsystem så tillhandahåller Entra sitt Inbound provisioning API. När du nyttjar detta API för att skicka data så kan du välja om du vill att informationen skrivs direkt till Entra ID eller om det ska skickas till Active Directory för att därefter synkas upp till Entra.

En skillnad mot MIM är att Entras API inte hanterar komplex logik på egen hand. Den behöver du lösa innan datat skickas in. För att förenkla detta har vi på Atea utvecklat en lösning som tar hand om den logiken. Det innebär att du kan överföra data från till exempel ert HR-system på ett sätt som liknar hur det fungerar i MIM.

När datat väl finns i Entra vill vi ju med all sannolikhet hantera provisionering och löpande uppdatering (synkronisering) i olika målsystem som vi nyttjar i verksamheten.
Här har vi några olika alternativ beroende på vilken typ av system det gäller. I takt med att organisationer moderniserar sin applikationsflora så kanske ni nyttjar SaaS-baserade system som Microsoft redan har färdiga app connectorer till i sitt galleri. Detta kan i så fall vara ett väldigt smidigt alternativ.

App connectors i Microsoft Entra

Nu kan du återanvända dina ECMA-connectorer i Entra enklare än du tror

Om inte detta finns tillgängligt (eller om du vill hantera detta via andra API-anrop av olika skäl) så tillhandahåller Entra sin modul On-prem Provisioning agent som innehåller komponenten ECMA Connector host. ECMA tänker du, det låter ju väldigt bekant, det använder vi ju i MIM idag? Ja precis, det är helt korrekt. Via denna komponent kan du faktiskt ladda och köra samma typ av ECMA-connectorer som du använder i MIM. Det kvittar om de är egenutvecklade av er eller Atea, eller om det är någon av de connectorer som Microsoft tillhandahåller - samtliga stöds.

Microsoft tillhandahåller sina egna generella som de tidigare även publicerat för MIM direkt i denna modul:

  • Powershell
  • Webservices
  • Generic SQL
  • Generic Ldap
  • Lotus Domino

Det finns även stöd för att importera connectorer som du exporterat från MIM vilket gör arbetet med att migrera en integration enklare.

Viktigt att förstå är att just nu stöds endast dataflöden från Entra till andra system. För att skicka in data till Entra använder du istället det API vi nämnde tidigare.

Som summering kan man säga att det mesta du kör i MIM kan flyttas till Entra. Du behöver i vissa fall förenkla komplex logik, men det är troligtvis ett steg i rätt riktning även om du skulle varit kvar i MIM. Det här är ett bra tillfälle att förenkla och modernisera livscykelhanteringen av dina konton. Det kommer att leda till både bättre överblick och mindre underhåll.

På uppsidan så får du tillgång till loggning som är betydligt bättre än i MIM och med dashboards och PowerBI rapporter liknande de vi på Atea tagit fram så får man en bra översikt om vad som hänt i systemet och hur körningar har gått.

Exempel: Atea Entra Identity Lifecycle Dashboard

Dashbord lifcycle entra

Exempel: Spårbarhet på varenda förändring

Spårbarhet förändring Entra

Exempel: Rapport över förändringar

Rapport förändring entra

Nya verktyg i Entra

Men låt oss växla spår och kika lite på de nya verktyg som Entra tillhandahåller. I stället för den gamla workflow-motorn i MIM som baserades på DotNet 3.5 så kan vi i Entra nyttja Logic apps samt den inbyggda funktionen Lifecycle Workflows. Här får vi tillgång till en modern workflow-motor med färdiga såkallade templates med aktiviteter relaterade till Joiner-Mover-Leaver processen. Detta för att förenkla on-/offboarding samt förändringar som sker under identitetens livstid.

Exempel på aktiviteter som stöds är:

  • Lägga till/ta bort gruppmedlemskap
  • Lägga till/ta bort Teams
  • Lägga till/ta bort Access paket
  • Hantera licenser
  • Köra custom aktiviteter (Logic apps)
  • Skicka epostnotifieringar

Det går givetvis att göra en hel del fler saker men aktiviteterna ovan är exempel på vanliga typer av saker du troligtvis behöver få utfört som administrativa åtgärder på dina identiteter.

Utöver detta så har Entra någonting som MIM helt saknat under alla sina år och det är hantering av det som brukar benämnas Access Governance, d.v.s. tilldelning och återtag av access och behörigheter till system samt uppföljning av dessa.

Visst fanns modulen BHold tillgänglig i MIM under en period(för att hantera RBAC och godkännandeflöden). I praktiken var det en funktion som sällan användes brett.

Här har däremot Entra funktionerna Access packages och Access Reviews som ligger inom det som Microsoft benämner Entitlement Management. Via accesspaket så kan man bundla ihop olika typer av resurser i ett paket som man sedan skapar en eller flera policies till för hur det ska tilldelas (och tas bort).

Exempel på typer av resurser är:

  • Gruppmedlemskap
  • Access med en viss roll i ett system
  • Tillgång till en Sharepointsite eller Teams
  • Entra roller

Dessa kan sedan tilldelas genom att en användare ansöker om det (med eller utan godkännande flöde) via MyAccess portalen, via automatiska filter, via aktivitet i ett Lifecycle workflow eller liknande.

Genom att även koppla Access reviews till dessa paket så kan du också granska och göra såkallad återcertifiering av access, för att på så vis få bättre kontroll och uppföljning på den access som finns utdelad i organisationen.

Kan Entra verkligen ersätta MIM?

Ja, det kan den. Redan idag går det att ersätta MIM med Microsoft Entra. Det kräver att vissa delar hanteras på nya, mer moderna sätt. Det är här vi på Atea kommer in. Vi har färdiga byggblock och lösningar som kompletterar Entra och gör övergången smidig och effektiv.

Men Entra är inte bara en ersättare utan det är ett steg framåt. Du får tillgång till funktioner som MIM aldrig kunnat erbjuda, som förbättrad loggning, moderna API:er, färdiga integrationer med molntjänster och kraftfulla visualiseringar via Power BI.

Har ni behov av att köra vissa delar on-premise, eller hantera komplex logik och efterlevnadskrav som avancerade rollmodeller och compliance-rapporter? Inga problem, vi hjälper er att hitta rätt lösning även där.

Varför agera nu?

Identitetshantering är inte längre bara en it-fråga utan det är en säkerhetsfråga. Med ökade krav från NIS2, Nationellt Cybersäkerhetscentrum och SKR:s initiativ kring identitet och behörighet, är det viktigare än någonsin att ha kontroll på vem som har tillgång till vad, när, och varför.

Vill du veta mer om hur Atea kan hjälpa er med en förflyttning från MIM till en ny modern IAM-plattform. eller har andra funderingar kring identitetshantering, kontakta oss!

Patrik Calegren, Erbjudandeansvarig, identitetshantering
Patrik Calegren
Security Architect, Digital Workplace
Skicka e-post
Olof Ottensten
Lösningsarkitekt
Skicka e-post
Säkerhet Seminariedeltagare kastas in i krisövning i cyberattacker