Přechod na cloud
Po sladění organizace směrem k zastavení růstu stop služby Active Directory se můžete zaměřit na přesun stávajících místních úloh do Microsoft Entra ID. Tento článek popisuje různé pracovní proudy migrace. Pracovnístreamy v tomto článku můžete spouštět na základě vašich priorit a prostředků.
Typický pracovnístream migrace má následující fáze:
Zjistit: Zjistěte, co aktuálně máte ve svém prostředí.
Pilotní nasazení: Nasazení nových cloudových funkcí do malé podmnožině uživatelů, aplikací nebo zařízení v závislosti na pracovním streamu
Horizontální navýšení kapacity: Rozšířením pilotního nasazení dokončíte přechod funkce do cloudu.
Vyjmutí (pokud je k dispozici): Přestaňte používat starou místní úlohu.
Uživatelé a skupiny
Povolení samoobslužné služby hesla
Doporučujeme prostředí bez hesla. Do té doby můžete migrovat samoobslužné pracovní postupy hesel z místních systémů do Microsoft Entra ID, aby se zjednodušilo vaše prostředí. Samoobslužné resetování hesla Microsoft Entra ID (SSPR) umožňuje uživatelům měnit nebo resetovat heslo bez zapojení správce nebo helpdesku.
Pokud chcete povolit samoobslužné funkce, zvolte vhodné metody ověřování pro vaši organizaci. Po aktualizaci metod ověřování můžete povolit samoobslužné heslo uživatele pro vaše prostředí ověřování Microsoft Entra. Pokyny k nasazení najdete v tématu Aspekty nasazení pro samoobslužné resetování hesla Microsoft Entra.
Mezi další aspekty patří:
- Nasaďte ochranu heslem Microsoft Entra v podmnožině řadičů domény s režimem auditování , abyste získali informace o dopadu moderních zásad.
- Postupně povolte kombinovanou registraci pro SSPR a vícefaktorové ověřování Microsoft Entra. Například zavedení podle oblasti, pobočky nebo oddělení pro všechny uživatele.
- Projděte si cyklus změny hesla, aby všichni uživatelé vyprazdnili slabá hesla. Po dokončení cyklu implementujte čas vypršení platnosti zásad.
- V řadičích domény s nastaveným režimem Vynuceno přepněte konfiguraci ochrany heslem. Další informace naleznete v tématu Povolení místní ochrany heslem Microsoft Entra.
Poznámka:
- Doporučujeme uživatelskou komunikaci a šíření pro bezproblémové nasazení. Viz ukázkové materiály pro zavedení SSPR.
- Pokud používáte Microsoft Entra ID Protection, povolte resetování hesla jako ovládací prvek v zásadách podmíněného přístupu pro uživatele označené jako rizikové.
Přesun správy skupin
Transformace skupin a distribučních seznamů:
Pro skupiny zabezpečení použijte stávající obchodní logiku, která přiřazuje uživatele ke skupinám zabezpečení. Migrujte logiku a možnosti do microsoft Entra ID a dynamických skupin členství.
U možností samoobslužných skupin poskytovaných Microsoft Identity Managerem nahraďte možnost samoobslužnou správou skupin.
Distribuční seznamy můžete v Outlooku převést na skupiny Microsoftu 365. Tento přístup představuje skvělý způsob, jak poskytnout distribučním seznamům vaší organizace všechny funkce a funkce skupin Microsoftu 365.
Upgradujte distribuční seznamy na skupiny Microsoftu 365 v Outlooku a vyřaďte z provozu místní exchange server.
Přesun zřizování uživatelů a skupin do aplikací
Své prostředí můžete zjednodušit odebráním toků zřizování aplikací z místních systémů správy identit (IDM), jako je Microsoft Identity Manager. Na základě zjišťování vaší aplikace kategorizujte aplikaci na základě následujících charakteristik:
Aplikace ve vašem prostředí, které mají integraci zřizování s galerií aplikací Microsoft Entra.
Aplikace, které nejsou v galerii, ale podporují protokol SCIM 2.0. Tyto aplikace jsou nativně kompatibilní se službou zřizování cloudu Microsoft Entra.
Místní aplikace, které mají k dispozici konektor ECMA. Tyto aplikace je možné integrovat se zřizováním místních aplikací Microsoft Entra.
Další informace najdete v tématu Plánování automatického nasazení zřizování uživatelů pro Microsoft Entra ID.
Přechod na zřizování lidských zdrojů v cloudu
Své místní nároky můžete snížit přesunutím pracovních postupů zřizování lidských zdrojů z místních systémů IDM, jako je Microsoft Identity Manager, na Microsoft Entra ID. Pro zřizování lidských zdrojů v cloudu Microsoft Entra jsou k dispozici dva typy účtů:
Pro nové zaměstnance, kteří výhradně používají aplikace, které používají ID Microsoft Entra, můžete zřizovat účty pouze v cloudu. Toto zřizování vám pomůže obsahovat stopy služby Active Directory.
Pro nové zaměstnance, kteří potřebují přístup k aplikacím, které jsou závislé na službě Active Directory, můžete zřídit hybridní účty.
Zřizování lidských zdrojů v cloudu Microsoft Entra může také spravovat účty služby Active Directory pro stávající zaměstnance. Další informace najdete v tématu Plánování cloudové aplikace HR pro zřizování uživatelů Microsoft Entra a plánování projektu nasazení.
Přesun pracovních postupů životního cyklu
Vyhodnoťte stávající pracovní postupy a procesy pro spojení, mover nebo leaver, abyste mohli použít a relevance pro cloudové prostředí Microsoft Entra. Tyto pracovní postupy pak můžete zjednodušit a vytvořit nové pomocí pracovních postupů životního cyklu.
Přesun správy externích identit
Pokud vaše organizace zřizuje účty ve službě Active Directory nebo jiných místních adresářích pro externí identity, jako jsou dodavatelé, dodavatelé nebo konzultanti, můžete své prostředí zjednodušit tím, že tyto objekty uživatelů třetích stran nativně spravujete v cloudu. Tady je několik možností:
Pro nové externí uživatele použijte Microsoft Entra Externí ID, což zastaví stopy uživatelů ve službě Active Directory.
U stávajících účtů služby Active Directory, které zřizujete pro externí identity, můžete odebrat režii při správě místních přihlašovacích údajů (například hesel) konfigurací spolupráce B2B (Business-to-Business). Postupujte podle kroků v části Pozvání interních uživatelů ke spolupráci B2B.
Správa nároků Microsoft Entra slouží k udělení přístupu k aplikacím a prostředkům. Většina společností má pro tento účel vyhrazené systémy a pracovní postupy, které teď můžete přesunout z místních nástrojů.
Pomocí kontrol přístupu můžete odebrat přístupová práva nebo externí identity, které už nejsou potřeba.
Zařízení
Přesun pracovních stanic mimo Windows
Pracovní stanice mimo Windows můžete integrovat s Microsoft Entra ID, abyste vylepšili uživatelské prostředí a využili výhod cloudových funkcí zabezpečení, jako je podmíněný přístup.
Pro macOS:
Zaregistrujte si macOS do Microsoft Entra ID a zaregistrujte a spravujte je pomocí řešení pro správu mobilních zařízení.
Nasaďte modul plug-in Microsoft Enterprise SSO (jednotné přihlašování) pro zařízení Apple.
Naplánujte nasazení jednotného přihlašování platformy pro macOS 13.
V případě Linuxu se můžete přihlásit k virtuálnímu počítači s Linuxem pomocí přihlašovacích údajů Microsoft Entra.
Nahrazení ostatních verzí Windows pro pracovní stanice
Pokud máte na pracovních stanicích následující operační systémy, zvažte upgrade na nejnovější verze, abyste mohli těžit z nativní správy cloudu (připojení k Microsoft Entra a sjednocená správa koncových bodů):
Windows 7 nebo 8.x
Windows Server
Řešení VDI
Tento projekt má dvě hlavní iniciativy:
Nová nasazení: Nasazení řešení infrastruktury virtuálních klientských klientských počítačů (VDI) spravované v cloudu, jako je Windows 365 nebo Azure Virtual Desktop, které nevyžaduje místní Active Directory.
Existující nasazení: Pokud vaše stávající nasazení VDI závisí na službě Active Directory, použijte obchodní cíle a cíle k určení, jestli řešení udržujete nebo migrujete do Microsoft Entra ID.
Další informace naleznete v tématu:
Aplikace
Pro zajištění zabezpečeného prostředí podporuje Microsoft Entra ID moderní ověřovací protokoly. Pokud chcete převést ověřování aplikací ze služby Active Directory na ID Microsoft Entra, musíte:
Určete, které aplikace se můžou migrovat na ID Microsoft Entra beze změny.
Určete, které aplikace mají cestu upgradu, která umožňuje migraci s upgradem.
Určete, které aplikace k migraci vyžadují nahrazení nebo významné změny kódu.
Výsledkem iniciativy zjišťování aplikací je vytvoření seznamu priorit pro migraci portfolia aplikací. Seznam obsahuje aplikace, které:
Vyžaduje upgrade nebo aktualizaci softwaru a je k dispozici cesta upgradu.
Vyžaduje upgrade nebo aktualizaci softwaru, ale cesta upgradu není k dispozici.
Pomocí seznamu můžete dále vyhodnotit aplikace, které nemají existující cestu upgradu. Určete, jestli obchodní hodnota zaručuje aktualizaci softwaru nebo jestli má být vyřazena. Pokud se má software vyřadit, rozhodněte se, jestli potřebujete nahradit.
Na základěvýsledkůch Existují přístupy, které můžete použít k rozšíření místní Active Directory na infrastrukturu Azure jako službu (IaaS) (lift and shift) pro aplikace s nepodporovanými ověřovacími protokoly. Doporučujeme nastavit zásadu, která vyžaduje výjimku pro použití tohoto přístupu.
Zjišťování aplikací
Po segmentování portfolia aplikací můžete určit prioritu migrace na základě obchodní hodnoty a obchodní priority. K vytvoření nebo aktualizaci inventáře aplikací můžete použít nástroje.
Existují tři hlavní způsoby kategorizace aplikací:
Moderní ověřovací aplikace: Tyto aplikace používají moderní ověřovací protokoly (například OIDC, OAuth2, SAML nebo WS-Federation) nebo které používají federační službu, jako je Active Directory Federation Services (AD FS) (AD FS).
Nástroje pro správu webového přístupu (WAM): Tyto aplikace používají hlavičky, soubory cookie a podobné techniky jednotného přihlašování. Tyto aplikace obvykle vyžadují zprostředkovatele identity WAM, například Symantec SiteMinder.
Starší verze aplikací: Tyto aplikace používají starší protokoly, jako jsou Kerberos, LDAP, Radius, Vzdálená plocha a NTLM (nedoporučuje se).
Microsoft Entra ID lze použít s každým typem aplikace k poskytování úrovní funkčnosti, které vedou k různým strategiím migrace, složitosti a kompromisům. Některé organizace mají inventář aplikací, který lze použít jako směrný plán zjišťování. (Je běžné, že tento inventář není úplný nebo aktualizovaný.)
Zjišťování moderních aplikací pro ověřování:
Pokud používáte službu AD FS, použijte sestavu aktivit aplikace SLUŽBY AD FS.
Pokud používáte jiného zprostředkovatele identity, použijte protokoly a konfiguraci.
Následující nástroje vám můžou pomoct zjistit aplikace, které používají protokol LDAP:
Event1644Reader: Ukázkový nástroj pro shromažďování dat o dotazech LDAP provedených na řadiče domény pomocí protokolů přípravy polí.
Microsoft 365 Defender for Identity: Řešení zabezpečení, které používá funkci monitorování operací přihlašování. (Všimněte si, že zachycuje vazby pomocí protokolu LDAP, nikoli protokolu Secure LDAP.)
PSLDAPQueryLogging: Nástroj GitHub pro vytváření sestav dotazů LDAP.
Migrace služby AD FS nebo jiných federačních služeb
Při plánování migrace na Microsoft Entra ID zvažte migraci aplikací, které používají moderní ověřovací protokoly (například SAML a OpenID Connect). Tyto aplikace můžete překonfigurovat tak, aby se ověřily pomocí ID Microsoft Entra buď prostřednictvím integrovaného konektoru z galerie Aplikace Azure, nebo prostřednictvím registrace v Microsoft Entra ID.
Po přesunutí aplikací SaaS, které byly federované na ID Microsoft Entra, existuje několik kroků pro vyřazení místního federačního systému z provozu:
Přesunutí vzdáleného přístupu k interním aplikacím, pokud používáte proxy aplikace Microsoft Entra
Důležité
Pokud používáte jiné funkce, před vyřazením Active Directory Federation Services (AD FS) ověřte, že se tyto služby přemísťují.
Přesun aplikací pro ověřování WAM
Tento projekt se zaměřuje na migraci funkcí jednotného přihlašování ze systémů WAM na Microsoft Entra ID. Další informace najdete v tématu Migrace aplikací z Symantec SiteMinder do Microsoft Entra ID.
Definování strategie správy aplikačního serveru
Z hlediska správy infrastruktury místní prostředí často používají kombinaci objektů zásad skupiny (GPO) a funkcí Microsoft Configuration Manageru k segmentaci povinností správy. Například povinnosti je možné segmentovat do správy zásad zabezpečení, správy aktualizací, správy konfigurací a monitorování.
Služba Active Directory je určená pro místní IT prostředí a ID Microsoft Entra je určené pro cloudová IT prostředí. Tady není k dispozici parita funkcí 1:1, takže aplikační servery můžete spravovat několika způsoby.
Azure Arc například pomáhá spojit řadu funkcí, které existují ve službě Active Directory, do jednoho zobrazení, když pro správu identit a přístupu (IAM) použijete ID Microsoft Entra. Službu Microsoft Entra Domain Services můžete také použít k serverům pro připojení k doméně v MICROSOFT Entra ID, zejména pokud chcete, aby tyto servery používaly objekty zásad skupiny z konkrétních obchodních nebo technických důvodů.
Pomocí následující tabulky určete, jaké nástroje založené na Azure můžete použít k nahrazení místního prostředí:
| Oblast správy | Funkce místní služby (Active Directory) | Ekvivalentní funkce Microsoft Entra |
|---|---|---|
| Správa zásad zabezpečení | GPO, Microsoft Configuration Manager | Microsoft 365 Defender pro cloud |
| Správa aktualizací | Microsoft Configuration Manager, Windows Server Update Services | Azure Automation – Update Management |
| Správa konfigurace | GPO, Microsoft Configuration Manager | Azure Automation State Configuration |
| Sledování | System Center Operations Manager | Azure Monitor Log Analytics |
Tady jsou další informace, které můžete použít ke správě aplikačních serverů:
Azure Arc umožňuje funkce Azure pro virtuální počítače mimo Azure. Můžete ho například použít k získání funkcí Azure pro Windows Server, když se používá místně nebo ve službě Amazon Web Services nebo se ověřuje na počítačích s Linuxem pomocí SSH.
Pokud musíte počkat na migraci nebo provést částečnou migraci, můžete použít objekty zásad skupiny se službou Microsoft Entra Domain Services.
Pokud potřebujete správu aplikačních serverů pomocí nástroje Microsoft Configuration Manager, nemůžete tento požadavek dosáhnout pomocí služby Microsoft Entra Domain Services. Microsoft Configuration Manager není podporovaný pro spuštění v prostředí služby Microsoft Entra Domain Services. Místo toho je potřeba rozšířit instanci místní Active Directory na řadič domény spuštěný na virtuálním počítači Azure. Nebo musíte nasadit novou instanci Active Directory do virtuální sítě Azure IaaS.
Definování strategie migrace pro starší verze aplikací
Starší verze aplikací mají podobné závislosti jako služba Active Directory:
Ověřování a autorizace uživatelů: Kerberos, NTLM, vazba PROTOKOLU LDAP, seznamy ACL.
Přístup k datům adresáře: dotazy LDAP, rozšíření schématu, čtení a zápis objektů adresáře.
Správa serveru: Podle strategie správy serveru.
Pokud chcete tyto závislosti omezit nebo odstranit, máte tři hlavní přístupy.
Přístup 1
V upřednostňovaném přístupu provedete projekty, které budou migrovat ze starších aplikací na alternativy SaaS, které používají moderní ověřování. Ověřte alternativy SaaS přímo k ID Microsoft Entra:
Nasaďte službu Microsoft Entra Domain Services do virtuální sítě Azure a rozšiřte schéma tak, aby zahrnovalo další atributy potřebné aplikacemi.
Lift and shift legacy apps to VMs on the Azure virtual network that are domain-join to Microsoft Entra Domain Services.
Publikujte starší verze aplikací do cloudu pomocí proxy aplikací Microsoft Entra nebo zabezpečeného partnera pro hybridní přístup .
Starší verze aplikací se vyřadí z provozu prostřednictvím vyřazení z provozu a nakonec vyřadí službu Microsoft Entra Domain Services spuštěnou ve virtuální síti Azure.
Poznámka:
- Pokud jsou závislosti v souladu s běžnými scénáři nasazení služby Microsoft Entra Domain Services, použijte službu Microsoft Entra Domain Services.
- Pokud chcete ověřit, jestli je služba Microsoft Entra Domain Services vhodná, můžete použít nástroje, jako jsou přehledy virtuálních počítačů služby Azure Monitor [https://learn.microsoft.com/azure/azure-monitor/vm/vminsights-overview].
- Ověřte, že instance SQL Serveru je možné migrovat do jiné domény. Pokud je vaše služba SQL spuštěná ve virtuálních počítačích, postupujte podle těchto pokynů.
Přístup 2
Pokud první přístup není možný a aplikace má silnou závislost na Active Directory, můžete rozšířit místní Active Directory na Azure IaaS.
Můžete znovu vytvořit podporu moderního bezserverového hostování – například použít platformu jako službu (PaaS). Nebo můžete kód aktualizovat tak, aby podporoval moderní ověřování. Aplikaci můžete také povolit přímou integraci s ID Microsoft Entra. Přečtěte si o knihovně Microsoft Authentication Library na platformě Microsoft Identity Platform.
Připojte virtuální síť Azure k místní síti prostřednictvím virtuální privátní sítě (VPN) nebo Azure ExpressRoute.
Nasaďte nové řadiče domény pro instanci místní Active Directory jako virtuální počítače do virtuální sítě Azure.
Migrace starších aplikací na virtuální počítače ve virtuální síti Azure, které jsou připojené k doméně
Publikujte starší verze aplikací do cloudu pomocí proxy aplikací Microsoft Entra nebo zabezpečeného partnera pro hybridní přístup .
Nakonec úplně vyřadíte infrastrukturu místní Active Directory a spustíte Active Directory ve virtuální síti Azure.
Starší verze aplikací se vyřadí z provozu a nakonec vyřadí instanci Active Directory spuštěnou ve virtuální síti Azure.
Přístup 3
Pokud první migrace není možná a aplikace má silnou závislost na Active Directory, můžete do Azure IaaS nasadit novou instanci Active Directory. Aplikace ponechejte v dohledné budoucnosti jako starší verze nebo je v případě vzniku příležitosti ukončete.
Tento přístup umožňuje oddělit aplikaci od stávající instance služby Active Directory a snížit tak plochu. Doporučujeme, abyste ji zvážili pouze jako poslední možnost.
Nasaďte novou instanci Active Directory jako virtuální počítače ve virtuální síti Azure.
Lift and shift legacy apps to VMs on the Azure virtual network that are domain-join to the new Active Directory instance.
Publikujte starší verze aplikací do cloudu pomocí proxy aplikací Microsoft Entra nebo zabezpečeného partnera pro hybridní přístup .
Starší verze aplikací se vyřadí z provozu a nakonec vyřadí instanci Active Directory spuštěnou ve virtuální síti Azure.
Porovnání strategií
| Strategie | Microsoft Entra Domain Services | Rozšíření služby Active Directory na IaaS | Nezávislá instance služby Active Directory v IaaS |
|---|---|---|---|
| Oddělení od místní Active Directory | Yes | Ne | Yes |
| Povolení rozšíření schématu | Ne | Yes | Yes |
| Úplné řízení správy | Ne | Yes | Yes |
| Potenciální rekonfigurace požadovaných aplikací (například seznamy ACL nebo autorizace) | Yes | Ne | Yes |
Přesun ověřování VPN
Tento projekt se zaměřuje na přesun ověřování VPN na MICROSOFT Entra ID. Je důležité vědět, že pro připojení brány VPN jsou k dispozici různé konfigurace. Musíte určit, která konfigurace bude nejlépe vyhovovat vašim potřebám. Další informace o návrhu řešení najdete v tématu Návrh brány VPN.
Tady jsou klíčové body týkající se použití Microsoft Entra ID pro ověřování VPN:
Zkontrolujte, jestli poskytovatelé sítě VPN podporují moderní ověřování. Příklad:
U zařízení s Windows 10 zvažte integraci podpory Microsoft Entra do integrovaného klienta VPN.
Po vyhodnocení tohoto scénáře můžete implementovat řešení, které odebere závislost s místním prostředím pro ověření ve službě VPN.
Přesun vzdáleného přístupu k interním aplikacím
Pro zjednodušení prostředí můžete k zajištění vzdáleného přístupu použít proxy aplikace Microsoft Entra nebo zabezpečené partnery pro hybridní přístup . To vám umožní odebrat závislost na místních řešeních reverzního proxy serveru.
Je důležité zmínit, že povolení vzdáleného přístupu k aplikaci pomocí předchozích technologií představuje dočasný krok. Pokud chcete aplikaci úplně oddělit od služby Active Directory, musíte udělat víc práce.
Služba Microsoft Entra Domain Services umožňuje migrovat aplikační servery do cloudu IaaS a oddělit od služby Active Directory, zatímco proxy aplikace Microsoft Entra umožňuje vzdálený přístup. Další informace o tomto scénáři najdete v tématu Nasazení proxy aplikace Microsoft Entra pro službu Microsoft Entra Domain Services.