Implementace přístupu typu cloud-first
Jedná se hlavně o fázi založenou na procesech a zásadách, která se má co nejvíce zastavit nebo omezit, přidat do služby Active Directory nové závislosti a implementovat přístup založený na cloudu pro nové požadavky it řešení.
V tomto okamžiku je klíčem k identifikaci interních procesů, které by mohly vést k přidání nových závislostí ve službě Active Directory. Většina organizací by například měla proces správy změn, který je potřeba dodržovat před implementací nových scénářů, funkcí a řešení. Důrazně doporučujeme zajistit, aby se tyto procesy schvalování změn aktualizovaly na:
- Zahrňte krok, který vyhodnotí, jestli by navrhovaná změna přidala nové závislosti ve službě Active Directory.
- Pokud je to možné, požádejte o vyhodnocení alternativ Microsoft Entra.
Uživatelé a skupiny
V Microsoft Entra ID můžete rozšířit atributy uživatele, aby byly k dispozici více atributů uživatele pro zahrnutí. Mezi běžné scénáře, které vyžadují bohaté atributy uživatelů, patří:
Zřizování aplikací: Zdrojem dat zřizování aplikací je ID Microsoft Entra a musí tam být nezbytné atributy uživatele.
Autorizace aplikace: Token, který může problémy s ID Microsoft Entra zahrnovat deklarace identity generované z atributů uživatele, aby aplikace mohly provádět rozhodnutí o autorizaci na základě deklarací identity v tokenu. Může také obsahovat atributy pocházející z externích zdrojů dat prostřednictvím vlastního zprostředkovatele deklarací identity.
Počet obyvatel a údržba členství ve skupinách: Dynamické skupiny členství umožňují dynamický počet skupin na základě atributů uživatelů, jako jsou informace o oddělení.
Tyto dva odkazy obsahují pokyny k provádění změn schématu:
Tyto odkazy obsahují další informace o tomto tématu, ale nejsou specifické pro změnu schématu:
Co jsou vlastní atributy zabezpečení v Microsoft Entra ID (Preview)?
Přizpůsobení mapování atributů Microsoft Entra ve zřizování aplikací
Poskytnutí volitelných deklarací identity pro aplikace Microsoft Entra – Microsoft Identity Platform
Tyto odkazy poskytují další informace o skupinách:
Vytvoření nebo úprava dynamické skupiny a získání stavu v ID Microsoft Entra
Použití samoobslužných skupin pro správu skupin iniciovaných uživatelem
Zřizování aplikací na základě atributů pomocí filtrů oborů nebo Co je správa nároků Microsoft Entra? (pro přístup k aplikacím)
Vy a váš tým se můžete cítit nuceni změnit zřizování aktuálních zaměstnanců tak, aby používaly účty jen pro cloud v této fázi. Úsilí je netriviální, ale neposkytuje dostatečnou obchodní hodnotu. Tento přechod doporučujeme naplánovat v jiné fázi transformace.
Zařízení
Klientské pracovní stanice se tradičně připojují ke službě Active Directory a spravují se prostřednictvím objektů zásad skupiny (GPO) nebo řešení pro správu zařízení, jako je Microsoft Configuration Manager. Vaše týmy vytvoří novou zásadu a proces, aby se nově nasazené pracovní stanice nepřipojily k doméně. Mezi klíčové body patří:
Vyžádněte microsoft Entra připojení k novým klientským pracovním stanicím s Windows, aby se dosáhlo "žádného dalšího připojení k doméně".
Správa pracovních stanic z cloudu pomocí sjednocených řešení pro správu koncových bodů (UEM), jako je Intune.
Windows Autopilot vám pomůže vytvořit zjednodušené zřizovací funkce a zřizování zařízení, které může tyto direktivy vynutit.
Řešení LAPS (Windows Local Administrator Password Solution) umožňuje cloudové řešení pro správu hesel účtů místního správce.
Další informace najdete v tématu Další informace o koncových bodech nativních pro cloud.
Aplikace
Aplikační servery se tradičně často připojují k místní Active Directory doméně, aby mohly používat integrované ověřování systému Windows (Kerberos nebo NTLM), dotazy na adresáře prostřednictvím protokolu LDAP a správu serverů prostřednictvím objektu zásad zabezpečení nebo nástroje Microsoft Configuration Manager.
Organizace má proces vyhodnocení alternativ Microsoft Entra, když uvažuje o nových službách, aplikacích nebo infrastruktuře. Direktivy pro přístup typu cloud-first k aplikacím by měly být následující. (Nové místní aplikace nebo starší verze aplikací by měly být vzácnou výjimkou, pokud neexistuje žádná moderní alternativa.)
Poskytněte doporučení ke změně zásad zajišťování a zásad vývoje aplikací tak, aby vyžadovaly moderní protokoly (OIDC/OAuth2 a SAML) a ověřily se pomocí Microsoft Entra ID. Nové aplikace by také měly podporovat zřizování aplikací Microsoft Entra a nemají žádnou závislost na dotazech LDAP. Výjimky vyžadují explicitní kontrolu a schválení.
Důležité
V závislosti na očekávaných požadavcích aplikací, které vyžadují starší protokoly, se můžete rozhodnout nasadit službu Microsoft Entra Domain Services , pokud nebudou fungovat aktuálnější alternativy.
Poskytněte doporučení k vytvoření zásady pro stanovení priority použití alternativ nativních pro cloud. Zásady by měly omezit nasazení nových aplikačních serverů do domény. Mezi běžné scénáře nativní pro cloud pro nahrazení serverů připojených ke službě Active Directory patří:
Souborové servery:
SharePoint nebo OneDrive poskytuje podporu spolupráce napříč řešeními Microsoftu 365 a integrovanými zásadami správného řízení, riziky, zabezpečením a dodržováním předpisů.
Azure Files nabízí plně spravované sdílené složky v cloudu, které jsou přístupné přes standardní protokol SMB nebo NFS. Zákazníci můžou používat nativní ověřování Microsoft Entra pro službu Azure Files přes internet bez dohledu řadiče domény.
Id Microsoft Entra pracuje s aplikacemi třetích stran v galerii aplikací Microsoftu.
Tiskové servery:
Pokud má vaše organizace mandát k nákupu tiskáren kompatibilních s univerzálním tiskem, přečtěte si téma Integrace partnerů.
Most s Konektor pro Univerzální tisk pro nekompatibilní tiskárny.