Implementar uma abordagem com foco em nuvem

Esta é uma fase orientada principalmente por processos e políticas para interromper ou limitar ao máximo a adição de novas dependências ao Active Directory e para implementar uma abordagem com foco em nuvem para novas demandas de soluções de TI.

No momento, é fundamental identificar os processos internos que levariam à adição de novas dependências no Active Directory. Por exemplo, a maioria das organizações teria um processo de gerenciamento de alterações a ser seguido antes da implementação de novos cenários, recursos e soluções. É altamente recomendável garantir que esses processos de aprovação de alterações sejam atualizados para:

• Incluir uma etapa para avaliar se a alteração proposta adicionaria novas dependências ao Active Directory.
• Solicite a avaliação de alternativas do Microsoft Entra quando possível.

Usuários e grupos

É possível enriquecer os atributos do usuário no Microsoft Entra ID para disponibilizar mais deles para inclusão. Veja os seguintes exemplos de cenários comuns que exigem atributos de usuário avançados:

• Provisionamento de aplicativo: a fonte de dados do provisionamento de aplicativo é o Microsoft Entra ID, e os atributos de usuário necessários devem estar presentes.

• Autorização do aplicativo: um token emitido pelo Microsoft Entra ID pode incluir declarações geradas por atributos de usuário para que os aplicativos possam tomar decisões de autorização com base nas declarações no token. Também pode conter atributos provenientes de fontes de dados externas por meio de um provedor de declarações personalizado.

• Preenchimento e manutenção de associações de grupo: grupos de associação dinâmica permitem o preenchimento dinâmico de grupos com base em atributos de usuário, como informações de departamento.

Esses dois links fornecem orientação sobre como fazer alterações no esquema:

• Entender o esquema e as expressões personalizadas do Microsoft Entra

• Atributos sincronizados pelo Microsoft Entra Connect

Esses links fornecem mais informações sobre esse tópico, mas não tratam especificamente da alteração do esquema:

• Usar atributos de extensão de esquema do Microsoft Entra em declarações – Plataforma de identidade da Microsoft

• O que são atributos de segurança personalizados no Microsoft Entra ID (versão prévia)?

• Personalizar mapeamentos de atributo do Microsoft Entra no provisionamento de aplicativos

• Fornecer declarações opcionais a aplicativos do Microsoft Entra – Plataforma de identidade da Microsoft

Esses links fornecem mais informações sobre grupos:

• Criar ou editar um grupo dinâmico e obter status no Microsoft Entra ID

• Usar grupos de autoatendimento para o gerenciamento de grupos iniciado pelo usuário

• Provisionamento de aplicativo baseado em atributos com filtros de escopo ou O que é gerenciamento de direitos do Microsoft Entra? (para acesso ao aplicativo)

• Comparar grupos

• Restringir permissões de acesso de convidado no Microsoft Entra ID

Neste estágio, você e sua equipe podem se sentir obrigados a alterar o provisionamento de funcionários atual para usar contas somente na nuvem. O esforço é significativo, mas não agrega valor comercial suficiente. Recomendamos planejar essa transição em uma fase diferente da transformação.

Dispositivos

Tradicionalmente, as estações de trabalho cliente são ingressadas no Active Directory e gerenciadas por meio de GPOs (Objetos de Política de Grupo) ou soluções de gerenciamento de dispositivo, como o Microsoft Configuration Manager. As equipes estabelecerão novas políticas e processos para impedir que as estações de trabalho recém-implantadas sejam ingressadas no domínio. Os pontos-chave incluem o seguinte:

• Autorize o ingresso no Microsoft Entra para novas estações de trabalho cliente do Windows para que "não haja mais ingresso no domínio".

• Gerencie as estações de trabalho na nuvem usando soluções de UEM (gerenciamento unificado de pontos de extremidade), como o Intune.

O Windows Autopilot pode ajudar a estabelecer uma integração simplificada e o provisionamento de dispositivos, que pode aplicar essas diretivas.

A Solução de Senha de Administrador Local (LAPS) do Windows permite que uma solução que prioriza a nuvem gerencie as senhas das contas de administrador locais.

Para obter mais informações, confira Saiba mais sobre os pontos de extremidade nativos de nuvem.

Aplicativos

Tradicionalmente, os servidores de aplicativos normalmente são ingressados em um domínio local do Active Directory, para que possam usar a Autenticação Integrada do Windows (Kerberos ou NTLM), as consultas de diretório por meio do LDAP e o gerenciamento de servidor por meio do GPO ou do Microsoft Configuration Manager.

A organização tem um processo para avaliar as alternativas do Microsoft Entra, ao considerar novos serviços, aplicativos ou infraestruturas. As diretivas de uma abordagem com foco em nuvem para os aplicativos devem ser as seguintes. (Novos aplicativos locais ou aplicativos herdados devem ser uma rara exceção, quando não houver alternativas modernas.)

• Forneça uma recomendação para alterar a política de compras e a política de desenvolvimento de aplicativos para exigir protocolos modernos (OIDC/OAuth2 e SAML) e autenticar usando o Microsoft Entra ID. Os novos aplicativos também devem dar suporte ao provisionamento de aplicativos do Microsoft Entra e não devem ter dependências nas consultas LDAP. As exceções requerem revisão e aprovação explícitas.

  Importante

  Dependendo das demandas previstas dos aplicativos que exigem protocolos herdados, você pode optar por implantar o Microsoft Entra Domain Services, quando as alternativas mais atuais não derem certo.

• Forneça uma recomendação para criar uma política para priorizar o uso de alternativas nativas de nuvem. A política deve limitar a implantação de novos servidores de aplicativos no domínio. Os cenários nativos de nuvem comuns para substituir servidores ingressados no Active Directory incluem:

  • Servidores de arquivos:

    • O SharePoint ou o OneDrive oferece suporte de colaboração em soluções do Microsoft 365 e governança, risco, segurança e conformidade integrados.

    • Os Arquivos do Azure oferecem compartilhamentos de arquivos totalmente gerenciados na nuvem que são acessíveis por meio do protocolo NFS ou SMB padrão do setor. Os clientes podem usar a autenticação nativa do Microsoft Entra para Arquivos do Azure pela Internet sem uma linha de visão para um controlador de domínio.

    • O Microsoft Entra ID funciona com aplicativos de terceiros na galeria de aplicativos da Microsoft.

  • Servidores de impressão:

    • Se a sua organização tiver uma carta de ordem para adquirir impressoras compatíveis com a Impressão Universal, confira Integrações de parceiros.

    • Faça uma ponte com o conector de Impressão Universal para impressoras incompatíveis.

Próximas etapas

• Introdução
• Postura de transformação na nuvem
• Estabelecer uma área de cobertura do Microsoft Entra
• Transição para a nuvem