Implementieren eines Cloud-First-Ansatzes

Dies ist eine im Wesentlichen durch Prozesse und Richtlinien gesteuerte Phase, um das Hinzufügen neuer Abhängigkeiten zu Active Directory zu beenden oder so weit wie möglich zu einzuschränken und einen Cloud-First-Ansatz für neue Anforderungen an IT-Lösungen zu implementieren.

Es ist wichtig, an diesem Punkt die internen Prozesse zu identifizieren, die dazu führen würden, Active Directory neue Abhängigkeiten hinzuzufügen. Beispielsweise würden die meisten Organisationen einen Änderungsverwaltungsprozess einführen, der befolgt werden muss, bevor neue Szenarien, Features und Lösungen implementiert werden. Es wird dringend empfohlen, sicherzustellen, dass diese Änderungsgenehmigungsprozesse wie folgt aktualisiert werden:

• Fügen Sie einen Schritt hinzu, um auszuwerten, ob durch die vorgeschlagene Änderung neue Abhängigkeiten von Active Directory entstehen.
• Fordern Sie nach Möglichkeit die Beurteilung von Microsoft Entra-Alternativen an.

Benutzer und Gruppen

Sie können Benutzerattribute in Microsoft Entra ID erweitern, um weitere Benutzerattribute für die Aufnahme verfügbar zu machen. Zu den Beispielen für gängige Szenarien, die erweiterte Benutzerattribute erfordern, zählen:

• App-Bereitstellung: Die Datenquelle der App-Bereitstellung ist Microsoft Entra ID, und die erforderlichen Benutzerattribute müssen dort vorhanden sein.

• Anwendungsautorisierung: Ein von Microsoft Entra ID ausgestelltes Token kann Ansprüche enthalten, die aus Benutzerattributen generiert werden, sodass Anwendungen eine Autorisierungsentscheidung auf der Grundlage der im Token vorhandenen Ansprüche treffen können. Attribute aus externen Datenquellen können über einen Anbieter von benutzerdefinierten Ansprüchen ebenfalls enthalten sein.

• Gesamtheit der Gruppenmitgliedschaften und Wartung: Dynamische Gruppen ermöglichen es, die dynamische Gesamtheit der Gruppenmitgliedschaften auf Benutzerattributen wie Abteilungsinformationen aufzubauen.

Diese beiden Links bieten Anleitungen zum Vornehmen von Schemaänderungen:

• Grundlegendes zum Microsoft Entra-Schema und zu benutzerdefinierten Ausdrücken

• Von Microsoft Entra Connect synchronisierte Attribute

Diese Links bieten weitere Informationen zu diesem Thema, beziehen sind jedoch nicht speziell auf die Schemaänderung:

• Verwenden von Attributen zur Microsoft Entra-Schemaerweiterung in Ansprüchen – Microsoft Identity Platform

• Was sind benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID (Vorschau)?

• Anpassen der Zuordnungen von Microsoft Entra-Attributen in der Anwendungsbereitstellung

• Bereitstellen optionaler Ansprüche für Microsoft Entra-Apps – Microsoft Identity Platform

Diese Links bieten weitere Informationen zu Gruppen:

• Erstellen oder Bearbeiten einer dynamischen Gruppe und Abrufen des Status in Microsoft Entra ID

• Verwenden von Self-Service-Gruppen für die benutzergesteuerte Gruppenverwaltung

• Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern oder Was ist die Microsoft Entra-Berechtigungsverwaltung? (für den Anwendungszugriff)

• Vergleichen von Gruppen

• Einschränken von Zugriffsberechtigungen für Gäste in Microsoft Entra ID

Sie und Ihr Team sehen sich in dieser Phase möglicherweise gezwungen, Ihre aktuelle Bereitstellung von Mitarbeitern so zu ändern, dass nur reine Cloudkonten verwendet werden. Der Aufwand ist nicht unerheblich, bietet aber keinen ausreichenden geschäftlichen Nutzen. Wir empfehlen Ihnen, diese Umstellung in einer anderen Phase Ihrer Transformation zu planen.

Geräte

Bei der herkömmlichen Vorgehensweise werden Clientarbeitsstationen in Active Directory eingebunden und über Gruppenrichtlinienobjekte oder Geräteverwaltungslösungen wie Microsoft Configuration Manager verwaltet. Ihre Teams richten eine neue Richtlinie und einen neuen Prozess ein, um zu verhindern, dass zukünftig neu bereitgestellte Arbeitsstationen in die Domäne eingebunden werden. Wichtige Punkte sind:

• Schreiben Sie den Beitritt zu Microsoft Entra für neue Windows-Clientarbeitsstationen vor, um zu erreichen, dass „keine neuen Domänenbeitritte“ mehr stattfinden.

• Verwalten Sie Arbeitsstationen in der Cloud mithilfe von UEM-Lösungen (Unified Endpoint Management) wie Intune.

Windows Autopilot kann hilfreich sein, um optimierte Onboarding- und Gerätebereitstellungsprozesse einzurichten, die diese Richtlinien durchsetzen können.

Windows Local Administrator Password Solution (LAPS) ermöglicht eine Cloud-First-Lösung zum Verwalten der Kennwörter lokaler Administratorkonten.

Mehr dazu erfahren Sie unter Weitere Informationen zu cloudnativen Endpunkten.

Anwendungen

Traditionell werden Anwendungsserver häufig in eine lokale Active Directory-Domäne eingebunden, sodass die integrierte Windows-Authentifizierung (Kerberos oder NTLM), Verzeichnisabfragen über LDAP und eine Serververwaltung über Gruppenrichtlinienobjekte oder Microsoft Configuration Manager verwendet werden kann.

Die Organisation verfügt über einen Prozess zum Beurteilen von Microsoft Entra-Alternativen, der bei der Erwägung neuer Dienste, Apps oder Infrastruktur zum Tragen kommt. Für einen Cloud-first-Ansatz für Anwendungen sollten folgende Richtlinien beachtet werden. (Neue lokale Anwendungen oder Legacy-Anwendungen sollten eine seltene Ausnahme sein, wenn es keine moderne Alternative gibt.)

• Geben Sie eine Empfehlung zum Ändern der Richtlinien für Beschaffung und Anwendungsentwicklung, um moderne Protokolle (OIDC/OAuth2 und SAML) und die Authentifizierung mithilfe von Microsoft Entra ID vorzuschreiben. Neue Apps sollten außerdem die Microsoft Entra-App-Bereitstellung unterstützen und keine Abhängigkeit von LDAP-Abfragen aufweisen. Ausnahmen erfordern eine explizite Überprüfung und Genehmigung.

  Wichtig

  Abhängig von den erwarteten Anforderungen an Anwendungen, die Legacy-Protokolle benötigen, können Sie sich für die Bereitstellung von Microsoft Entra Domain Services entscheiden, wenn aktuellere Alternativen nicht funktionieren.

• Empfehlen Sie die Erstellung einer Richtlinie, um die Verwendung cloudnativer Alternativen zu priorisieren. Die Richtlinie sollte die Bereitstellung neuer Anwendungsserver in der Domäne einschränken. Zu den allgemeinen cloudnativen Szenarien zum Ersetzen von in Active Directory eingebundenen Servern gehören:

  • Dateiserver:

    • SharePoint oder OneDrive ermöglichen eine übergreifende Unterstützung der Zusammenarbeit für Microsoft 365-Lösungen sowie integrierte Governance, Risikominimierung, Sicherheit und Compliance.

    • Azure Files bietet vollständig verwaltete Dateifreigaben in der Cloud, auf die über das Branchenstandardprotokoll SMB oder NFS zugegriffen werden kann. Kunden können die native Microsoft Entra-Authentifizierung bei Azure Files über das Internet verwenden, ohne „Sichtverbindung“ zu einem Domänencontroller.

    • Microsoft Entra ID funktioniert mit Anwendungen von Drittanbietern im Anwendungskatalog von Microsoft.

  • Druckserver:

    • Wenn Ihre Organisation die Beschaffung von Universal Print-kompatiblen Druckern vorschreibt, finden Sie weitere Informationen unter Partnerintegrationen.

    • Erstellen Sie mit dem Universal Print-Connector eine Brücke für inkompatible Drucker.

Nächste Schritte

• Introduction (Einführung)
• Ausgangssituation für die Cloudtransformation
• Einrichten eines Microsoft Entra-Footprints
• Übergang in die Cloud