Implementare un approccio cloud-first

Si tratta principalmente di un processo e di una fase guidata dai criteri per arrestare o limitare il più possibile, aggiungendo nuove dipendenze ad Active Directory e implementa un approccio cloud-first per nuove richieste di soluzioni IT.

A questo punto è fondamentale identificare i processi interni che potrebbero portare all'aggiunta di nuove dipendenze in Active Directory. Ad esempio, la maggior parte delle organizzazioni avrebbe un processo di gestione delle modifiche che deve essere seguito prima dell'implementazione di nuovi scenari, funzionalità e soluzioni. È consigliabile assicurarsi che questi processi di approvazione delle modifiche vengano aggiornati per:

• Includere un passaggio per valutare se la modifica proposta aggiungerà nuove dipendenze in Active Directory.
• Richiedere la valutazione delle alternative di Microsoft Entra, quando possibile.

Utenti e gruppi

È possibile arricchire gli attributi utente in Microsoft Entra ID per rendere disponibili altri attributi utente per l'inclusione. Esempi di scenari comuni che richiedono attributi utente avanzati includono:

• Provisioning delle app: l'origine dati del provisioning delle app è Microsoft Entra ID e gli attributi utente necessari devono trovarsi in tale posizione.

• Autorizzazione dell'applicazione: un token che i problemi di Microsoft Entra ID possono includere attestazioni generate dagli attributi utente in modo che le applicazioni possano prendere decisioni di autorizzazione in base alle attestazioni nel token. Può anche contenere attributi provenienti da origini dati esterne tramite un provider di attestazioni personalizzato.

• Popolamento e manutenzione dell'appartenenza a gruppi: i gruppi di appartenenza dinamica consentono la popolazione dinamica dei gruppi in base agli attributi utente, ad esempio le informazioni sul reparto.

Questi due collegamenti forniscono indicazioni su come apportare modifiche allo schema:

• Informazioni sullo schema e le espressioni personalizzate di Microsoft Entra

• Attributi sincronizzati da Microsoft Entra Connect

Questi collegamenti forniscono altre informazioni su questo argomento, ma non sono specifiche per la modifica dello schema:

• Usare gli attributi di estensione dello schema di Microsoft Entra nelle attestazioni - Microsoft Identity Platform

• Che cosa sono gli attributi di sicurezza personalizzati in Microsoft Entra ID (anteprima)?

• Personalizzare i mapping degli attributi di Microsoft Entra nel provisioning delle applicazioni

• Fornire attestazioni facoltative alle app Microsoft Entra - Microsoft Identity Platform

Questi collegamenti forniscono altre informazioni sui gruppi:

• Creare o modificare un gruppo dinamico e ottenere lo stato in Microsoft Entra ID

• Usare gruppi self-service per la gestione dei gruppi avviata dall'utente

• Provisioning di applicazioni basato su attributi con filtri di ambito o Che cos'è la gestione entitlement di Microsoft Entra? (per l'accesso alle applicazioni)

• Confrontare i gruppi

• Limitare le autorizzazioni di accesso guest in Microsoft Entra ID

L'utente e il team potrebbero sentirsi costretti a modificare il provisioning dei dipendenti correnti per usare account solo cloud in questa fase. L'impegno non è irreversibile, ma non fornisce un valore aziendale sufficiente. È consigliabile pianificare questa transizione in una fase diversa della trasformazione.

Dispositivi

Le workstation client vengono tradizionalmente aggiunte ad Active Directory e gestite tramite oggetti Criteri di gruppo o soluzioni di gestione dei dispositivi come Microsoft Configuration Manager. I team stabiliranno un nuovo criterio e un nuovo processo per impedire che le workstation appena distribuite vengano aggiunte a un dominio. I punti chiave includono:

• Imporre l'aggiunta a Microsoft Entra per le nuove workstation client Windows per ottenere "non più aggiunta a un dominio".

• Gestire le workstation dal cloud usando soluzioni UEM (Unified Endpoint Management), ad esempio Intune.

Windows Autopilot consente di stabilire un onboarding semplificato e il provisioning dei dispositivi, che può applicare queste direttive.

La soluzione password amministratore locale di Windows (LAPS) consente a una soluzione cloud-first di gestire le password degli account amministratore locale.

Per altre informazioni, vedere Altre informazioni sugli endpoint nativi del cloud.

Applicazioni

Tradizionalmente, i server applicazioni vengono spesso aggiunti a un dominio di Active Directory locale in modo che possano usare l'autenticazione integrata di Windows (Kerberos o NTLM), le query di directory tramite LDAP e la gestione dei server tramite Oggetti Criteri di gruppo o Microsoft Configuration Manager.

L'organizzazione ha un processo per valutare le alternative di Microsoft Entra quando prende in considerazione nuovi servizi, app o infrastruttura. Le direttive per un approccio cloud-first alle applicazioni devono essere le seguenti. Le nuove applicazioni locali o le applicazioni legacy devono essere un'eccezione rara quando non esiste alcuna alternativa moderna.

• Fornire una raccomandazione per modificare i criteri di approvvigionamento e i criteri di sviluppo delle applicazioni per richiedere protocolli moderni (OIDC/OAuth2 e SAML) ed eseguire l'autenticazione tramite Microsoft Entra ID. Le nuove app devono anche supportare il provisioning delle app Microsoft Entra e non devono dipendere dalle query LDAP. Le eccezioni richiedono una revisione e un'approvazione esplicite.

  Importante

  A seconda delle richieste previste di applicazioni che richiedono protocolli legacy, è possibile scegliere di distribuire Servizi di dominio Microsoft Entra quando le alternative più correnti non funzioneranno.

• Fornire un consiglio per creare un criterio per assegnare priorità all'uso di alternative native del cloud. I criteri devono limitare la distribuzione di nuovi server applicazioni al dominio. Gli scenari nativi del cloud comuni per sostituire i server aggiunti ad Active Directory includono:

  • File server:

    • SharePoint o OneDrive offre supporto per la collaborazione tra soluzioni Microsoft 365 e governance predefinita, rischio, sicurezza e conformità.

    • File di Azure offre condivisioni file completamente gestite nel cloud accessibili tramite il protocollo SMB o NFS standard del settore. I clienti possono usare l'autenticazione nativa Microsoft Entra in File di Azure tramite Internet senza dover vedere un controller di dominio.

    • Microsoft Entra ID funziona con applicazioni di terze parti nella raccolta di applicazioni di Microsoft.

  • Server di stampa:

    • Se l'organizzazione ha il mandato di acquistare stampanti compatibili con stampa universale, vedere Integrazioni dei partner.

    • Bridge con il connettore di stampa universale per stampanti incompatibili.

Passaggi successivi

• Introduzione
• Postura della trasformazione cloud
• Stabilire un footprint Microsoft Entra
• Transizione verso il cloud