Implementowanie podejścia opartego na chmurze

Jest to głównie proces i faza sterowana zasadami, aby zatrzymać lub ograniczyć jak najwięcej, dodając nowe zależności do usługi Active Directory i wdrażając podejście oparte na chmurze dla nowych rozwiązań IT.

W tym momencie kluczowe jest zidentyfikowanie procesów wewnętrznych, które doprowadziłyby do dodania nowych zależności w usłudze Active Directory. Na przykład większość organizacji będzie miała proces zarządzania zmianami, który należy wykonać przed wdrożeniem nowych scenariuszy, funkcji i rozwiązań. Zdecydowanie zalecamy upewnienie się, że te procesy zatwierdzania zmian zostały zaktualizowane do:

• Uwzględnij krok, aby ocenić, czy proponowana zmiana spowoduje dodanie nowych zależności w usłudze Active Directory.
• Zażądaj oceny alternatyw firmy Microsoft Entra, jeśli jest to możliwe.

Użytkownicy i grupy

Możesz wzbogacić atrybuty użytkownika w identyfikatorze Entra firmy Microsoft, aby udostępnić więcej atrybutów użytkownika na potrzeby dołączania. Przykłady typowych scenariuszy, które wymagają rozbudowanych atrybutów użytkownika, to:

• Aprowizowanie aplikacji: źródłem danych aprowizacji aplikacji jest identyfikator Entra firmy Microsoft, a wymagane atrybuty użytkownika muszą znajdować się tam.

• Autoryzacja aplikacji: token, który mogą zawierać oświadczenia wygenerowane na podstawie atrybutów użytkownika, dzięki czemu aplikacje mogą podejmować decyzje dotyczące autoryzacji na podstawie oświadczeń w tokenie. Może również zawierać atrybuty pochodzące z zewnętrznych źródeł danych za pośrednictwem niestandardowego dostawcy oświadczeń.

• Populacja i konserwacja członkostwa w grupach: Dynamiczne grupy członkostwa umożliwiają dynamiczną populację grup na podstawie atrybutów użytkowników, takich jak informacje o dziale.

Te dwa linki zawierają wskazówki dotyczące wprowadzania zmian schematu:

• Omówienie schematu i wyrażeń niestandardowych firmy Microsoft

• Atrybuty synchronizowane przez program Microsoft Entra Connect

Te linki zawierają więcej informacji na ten temat, ale nie są specyficzne dla zmiany schematu:

• Używanie atrybutów rozszerzenia schematu Entra firmy Microsoft w oświadczeniach — Platforma tożsamości Microsoft

• Co to są niestandardowe atrybuty zabezpieczeń w identyfikatorze Entra firmy Microsoft (wersja zapoznawcza)?

• Dostosowywanie mapowań atrybutów entra firmy Microsoft w aprowizacji aplikacji

• Udostępnianie opcjonalnych oświadczeń aplikacjom firmy Microsoft Entra — Platforma tożsamości Microsoft

Te linki zawierają więcej informacji o grupach:

• Tworzenie lub edytowanie grupy dynamicznej i uzyskiwanie stanu w identyfikatorze Entra firmy Microsoft

• Używanie grup samoobsługi na potrzeby zarządzania grupami inicjowanych przez użytkownika

• Aprowizowanie aplikacji opartej na atrybutach przy użyciu filtrów określania zakresu lub Co to jest zarządzanie upoważnieniami firmy Microsoft Entra? (w przypadku dostępu do aplikacji)

• Porównywanie grup

• Ograniczanie uprawnień dostępu gościa w identyfikatorze Entra firmy Microsoft

Ty i Twój zespół mogą czuć się zmuszeni do zmiany bieżącej aprowizacji pracowników w celu korzystania z kont tylko w chmurze na tym etapie. Nakład pracy jest nietrywialny, ale nie zapewnia wystarczającej wartości biznesowej. Zalecamy zaplanowanie tego przejścia w innej fazie transformacji.

Urządzenia

Stacje robocze klienta są tradycyjnie przyłączane do usługi Active Directory i zarządzane za pośrednictwem obiektów zasad grupy (GPO) lub rozwiązań do zarządzania urządzeniami, takich jak Program Microsoft Configuration Manager. Zespoły ustanowią nowe zasady i proces, aby zapobiec dołączaniu nowo wdrożonych stacji roboczych do domeny. Kluczowe kwestie obejmują:

• Wymuś dołączenie do firmy Microsoft Entra dla nowych stacji roboczych klienckich systemu Windows, aby osiągnąć "nie więcej przyłączania do domeny".

• Zarządzanie stacjami roboczymi z chmury przy użyciu ujednoliconych rozwiązań do zarządzania punktami końcowymi (UEM), takich jak usługa Intune.

Rozwiązanie Windows Autopilot może pomóc w ustanowieniu usprawnionego dołączania i aprowizacji urządzeń, które mogą wymuszać te dyrektywy.

Rozwiązanie LAPS (Local Administrator Password Solution) systemu Windows umożliwia rozwiązanie oparte na chmurze do zarządzania hasłami kont administratorów lokalnych.

Aby uzyskać więcej informacji, zobacz Dowiedz się więcej o punktach końcowych natywnych dla chmury.

Aplikacje

Tradycyjnie serwery aplikacji są często przyłączane do domeny lokalna usługa Active Directory, dzięki czemu mogą używać zintegrowanego uwierzytelniania systemu Windows (Kerberos lub NTLM), zapytań katalogu za pośrednictwem protokołu LDAP i zarządzania serwerem za pośrednictwem obiektu zasad grupy lub programu Microsoft Configuration Manager.

Organizacja ma proces oceny alternatyw firmy Microsoft Entra podczas rozważania nowych usług, aplikacji lub infrastruktury. Dyrektywy dotyczące podejścia opartego na chmurze do aplikacji powinny być następujące. (Nowe aplikacje lokalne lub starsze aplikacje powinny być rzadkim wyjątkiem, jeśli nie istnieje nowoczesna alternatywa).

• Podaj zalecenie dotyczące zmiany zasad zaopatrzenia i zasad programowania aplikacji w celu wymagania nowoczesnych protokołów (OIDC/OAuth2 i SAML) oraz uwierzytelniania przy użyciu identyfikatora Entra firmy Microsoft. Nowe aplikacje powinny również obsługiwać aprowizację aplikacji Firmy Microsoft Entra i nie mają zależności od zapytań LDAP. Wyjątki wymagają jawnego przeglądu i zatwierdzenia.

  Ważne

  W zależności od przewidywanych wymagań aplikacji, które wymagają starszych protokołów, można wybrać wdrożenie usług Microsoft Entra Domain Services , gdy więcej bieżących alternatyw nie będzie działać.

• Podaj zalecenie dotyczące tworzenia zasad w celu nadania priorytetów użyciu alternatyw natywnych dla chmury. Zasady powinny ograniczyć wdrażanie nowych serwerów aplikacji do domeny. Typowe scenariusze natywne dla chmury w celu zastąpienia serwerów przyłączonych do usługi Active Directory obejmują:

  • Serwery plików:

    • Program SharePoint lub OneDrive zapewnia obsługę współpracy między rozwiązaniami platformy Microsoft 365 oraz wbudowanym ładem, ryzykiem, zabezpieczeniami i zgodnością.

    • Usługa Azure Files oferuje w pełni zarządzane udziały plików w chmurze, które są dostępne za pośrednictwem standardowego protokołu SMB lub NFS w branży. Klienci mogą korzystać z natywnego uwierzytelniania microsoft Entra w usłudze Azure Files przez Internet bez kontaktu z kontrolerem domeny.

    • Identyfikator Entra firmy Microsoft współpracuje z aplikacjami innych firm w galerii aplikacji firmy Microsoft.

  • Serwery wydruku:

    • Jeśli Twoja organizacja ma mandat do zakupu drukarek zgodnych z usługą Universal Print, zobacz Integracje partnerów.

    • Mostek z łącznik Drukowanie uniwersalne dla niezgodnych drukarek.

Następne kroki

• Wprowadzenie
• Stan transformacji chmury
• Ustanawianie śladu firmy Microsoft Entra
• Przejście do chmury