Postura de transformação da nuvem
O Ative Directory, o Microsoft Entra ID e outras ferramentas da Microsoft estão no centro do gerenciamento de identidade e acesso (IAM). Por exemplo, os Serviços de Domínio Ative Directory (AD DS) e o Microsoft Configuration Manager fornecem gerenciamento de dispositivos no Ative Directory. No Microsoft Entra ID, o Intune fornece a mesma capacidade.
Como parte da maioria das iniciativas de modernização, migração ou Zero Trust, as organizações mudam as atividades do IAM do uso de soluções locais ou de infraestrutura como serviço (IaaS) para o uso de soluções integradas para a nuvem. Para um ambiente de TI que usa produtos e serviços da Microsoft, o Ative Directory e o Microsoft Entra ID desempenham um papel.
Muitas empresas que migram do Ative Directory para o Microsoft Entra ID começam com um ambiente semelhante ao diagrama a seguir. O diagrama sobrepõe três pilares:
Aplicativos: Inclui aplicativos, recursos e seus servidores subjacentes associados ao domínio.
Dispositivos: Concentra-se em dispositivos cliente associados ao domínio.
Usuários e grupos: representa identidades e atributos humanos e de carga de trabalho para acesso a recursos e associação a grupos para governança e criação de políticas.
A Microsoft modelou cinco estados de transformação que geralmente se alinham com os objetivos de negócios dos clientes. À medida que os objetivos dos clientes amadurecem, é típico que eles mudem de um estado para o outro em um ritmo que se adapte aos seus recursos e cultura.
Os cinco estados têm critérios de saída para ajudá-lo a determinar onde seu ambiente reside hoje. Alguns projetos, como a migração de aplicativos, abrangem todos os cinco estados. Outros projetos abrangem um único estado.
Em seguida, o conteúdo fornece orientações mais detalhadas que são organizadas para ajudar com mudanças intencionais em pessoas, processos e tecnologia. As orientações podem ajudá-lo a:
Estabeleça uma pegada do Microsoft Entra.
Implemente uma abordagem baseada na nuvem.
Comece a migrar para fora do seu ambiente do Ative Directory.
A orientação é organizada por gerenciamento de usuários, gerenciamento de dispositivos e gerenciamento de aplicativos de acordo com os pilares anteriores.
As organizações que são formadas no Microsoft Entra em vez do Ative Directory não têm o ambiente local herdado com o qual as organizações mais estabelecidas devem lidar. Para eles, ou para clientes que estão recriando completamente seu ambiente de TI na nuvem, tornar-se 100% centrado na nuvem pode acontecer à medida que o novo ambiente de TI é estabelecido.
Para clientes que têm um recurso de TI local estabelecido, o processo de transformação introduz complexidade que requer um planejamento cuidadoso. Além disso, como o Ative Directory e o Microsoft Entra ID são produtos separados destinados a ambientes de TI diferentes, eles não têm recursos semelhantes. Por exemplo, o Microsoft Entra ID não tem a noção de confianças de domínio e floresta do Ative Directory.
Cinco estados de transformação
Em organizações de tamanho empresarial, a transformação do IAM, ou mesmo a transformação do Ative Directory para o Microsoft Entra ID, normalmente é um esforço de vários anos com vários estados. Você analisa seu ambiente para determinar seu estado atual e, em seguida, define uma meta para seu próximo estado. Seu objetivo pode remover totalmente a necessidade do Ative Directory ou você pode decidir não migrar algum recurso para o Microsoft Entra ID e deixá-lo no lugar.
Os estados agrupam logicamente as iniciativas em projetos para completar uma transformação. Durante as transições de estado, você coloca soluções provisórias em prática. As soluções provisórias permitem que o ambiente de TI ofereça suporte a operações do IAM no Ative Directory e no Microsoft Entra ID. As soluções provisórias devem igualmente permitir a interoperabilidade entre os dois ambientes.
O diagrama a seguir mostra os cinco estados:
Nota
Os estados neste diagrama representam uma progressão lógica da transformação da nuvem. Sua capacidade de se mover de um estado para o próximo depende da funcionalidade que você implementou e dos recursos dentro dessa funcionalidade para migrar para a nuvem.
Estado 1: Nuvem conectada
No estado conectado à nuvem, as organizações criaram um locatário do Microsoft Entra para habilitar a produtividade do usuário e as ferramentas de colaboração. O inquilino está totalmente operacional.
A maioria das empresas que usam produtos e serviços da Microsoft em seu ambiente de TI já está nesse estado ou além dele. Nesse estado, os custos operacionais podem ser maiores porque há um ambiente local e um ambiente de nuvem para manter e tornar interativo. As pessoas devem ter experiência em ambos os ambientes para dar suporte aos seus usuários e à organização.
Neste estado:
- Os dispositivos são associados ao Ative Directory e geridos através da Política de Grupo ou de ferramentas de gestão de dispositivos no local.
- Os usuários são gerenciados no Ative Directory, provisionados por meio de sistemas de gerenciamento de identidades (IDM) locais e sincronizados com o Microsoft Entra ID por meio do Microsoft Entra Connect.
- Os aplicativos são autenticados no Ative Directory e em servidores de federação, como os Serviços de Federação do Ative Directory (AD FS), por meio de uma ferramenta de gerenciamento de acesso à Web (WAM), o Microsoft 365 ou outras ferramentas, como SiteMinder e Oracle Access Manager.
Estado 2: Híbrido
No estado híbrido, as organizações começam a aprimorar seu ambiente local por meio de recursos de nuvem. As soluções podem ser planejadas para reduzir a complexidade, aumentar a postura de segurança e reduzir a pegada do ambiente local.
Durante a transição e enquanto operam nesse estado, as organizações aumentam as habilidades e a experiência para usar o Microsoft Entra ID para soluções do IAM. Como as contas de usuário e os anexos de dispositivos são relativamente fáceis e uma parte comum das operações diárias de TI, a maioria das organizações tem usado essa abordagem.
Neste estado:
Os clientes Windows são Microsoft Entra híbrido junto.
As plataformas que não são da Microsoft baseadas em software como serviço (SaaS) começam a ser integradas com o Microsoft Entra ID. Exemplos são Salesforce e ServiceNow.
Os aplicativos herdados são autenticados no Microsoft Entra ID por meio do Proxy de Aplicativo ou de soluções de parceiros que oferecem acesso híbrido seguro.
A redefinição de senha de autoatendimento (SSPR) e a proteção por senha para usuários estão habilitadas.
Alguns aplicativos herdados são autenticados na nuvem por meio dos Serviços de Domínio Microsoft Entra e do Proxy de Aplicativo.
Estado 3: Cloud first
No estado cloud-first, as equipes de toda a organização constroem um histórico de sucesso e começam a planejar a transferência de cargas de trabalho mais desafiadoras para o Microsoft Entra ID. Normalmente, as organizações passam a maior parte do tempo neste estado de transformação. À medida que a complexidade, o número de cargas de trabalho e o uso do Ative Directory crescem ao longo do tempo, uma organização precisa aumentar seu esforço e seu número de iniciativas para mudar para a nuvem.
Neste estado:
- Novos clientes Windows são associados ao Microsoft Entra ID e são gerenciados por meio do Intune.
- Os conectores ECMA são usados para provisionar usuários e grupos para aplicativos locais.
- Todos os aplicativos que usavam anteriormente um provedor de identidade federada integrado ao AD DS, como o AD FS, são atualizados para usar a ID do Microsoft Entra para autenticação. Se você usou a autenticação baseada em senha por meio desse provedor de identidade para o Microsoft Entra ID, ela será migrada para a sincronização de hash de senha.
- Planos para mudar os serviços de arquivo e impressão para o Microsoft Entra ID estão sendo desenvolvidos.
- O Microsoft Entra ID fornece um recurso de colaboração entre empresas (B2B).
- Novos grupos são criados e gerenciados no Microsoft Entra ID.
Estado 4: Ative Directory minimizado
O Microsoft Entra ID fornece a maioria dos recursos do IAM, enquanto casos de borda e exceções continuam a usar o Ative Directory local. Um estado de minimização do Ative Directory é mais difícil de alcançar, especialmente para organizações maiores que têm uma dívida técnica local significativa.
O Microsoft Entra ID continua a evoluir à medida que a transformação da sua organização amadurece, trazendo novos recursos e ferramentas que você pode usar. As organizações são obrigadas a depreciar recursos ou criar novos recursos para fornecer substituição.
Neste estado:
Novos usuários provisionados por meio do recurso de provisionamento de RH são criados diretamente no Microsoft Entra ID.
Um plano para mover aplicativos que dependem do Ative Directory e fazem parte da visão para o ambiente Microsoft Entra de estado futuro está sendo executado. Um plano para substituir serviços que não serão movidos (serviços de arquivo, impressão ou fax) está em vigor.
As cargas de trabalho locais foram substituídas por alternativas na nuvem, como a Área de Trabalho Virtual do Windows, os Arquivos do Azure ou o Universal Print. A Instância Gerenciada SQL do Azure substitui o SQL Server.
Estado 5: 100% nuvem
No estado de 100% de nuvem, o Microsoft Entra ID e outras ferramentas do Azure fornecem todos os recursos do IAM. Este estado é a aspiração a longo prazo para muitas organizações.
Neste estado:
Nenhuma pegada do IAM local é necessária.
Todos os dispositivos são gerenciados no Microsoft Entra ID e em soluções de nuvem, como o Intune.
O ciclo de vida da identidade do usuário é gerenciado por meio do Microsoft Entra ID.
Todos os usuários e grupos são nativos da nuvem.
Os serviços de rede que dependem do Ative Directory são realocados.
Analogia da transformação
A transformação entre os estados é semelhante à mudança de locais:
Estabeleça um novo local: você compra seu destino e estabelece conectividade entre o local atual e o novo local. Essas atividades permitem que você mantenha sua produtividade e capacidade de operar. Para obter mais informações, consulte Estabelecer uma pegada do Microsoft Entra. Os resultados transitam para o estado 2.
Limitar novos itens no local antigo: você para de investir no local antigo e define uma política para preparar novos itens no novo local. Para obter mais informações, consulte Implementar uma abordagem baseada na nuvem. Essas atividades estabelecem as bases para migrar em escala e alcançar o estado 3.
Mover itens existentes para o novo local: você move itens do local antigo para o novo local. Você avalia o valor comercial dos itens para determinar se os move como estão, atualiza-os, substitui-os ou os deprecia. Para obter mais informações, consulte Transição para a nuvem.
Essas atividades permitem que você complete o estado 3 e alcance os estados 4 e 5. Com base em seus objetivos de negócios, você decide qual estado final deseja atingir.
A transformação para a nuvem não é apenas responsabilidade da equipe de identidade. A organização precisa de coordenação entre as equipes para definir políticas que incluam pessoas e mudança de processos, juntamente com tecnologia. O uso de uma abordagem coordenada ajuda a garantir um progresso consistente e reduz o risco de regressão para soluções locais. Envolva equipas que gerem:
- Dispositivos/terminais
- Redes
- Segurança/risco
- Proprietários de aplicativos
- Recursos humanos
- Colaboração
- Aprovisionamento
- Operations
Viagem de alto nível
À medida que as organizações iniciam uma migração do IAM para o Microsoft Entra ID, elas devem determinar a priorização de esforços com base em suas necessidades específicas. O pessoal operacional e o pessoal de apoio devem ser formados para desempenharem as suas funções no novo ambiente. O gráfico a seguir mostra a jornada de alto nível para a migração do Ative Directory para o Microsoft Entra ID:
Estabeleça uma pegada do Microsoft Entra: inicialize seu novo locatário do Microsoft Entra para dar suporte à visão para sua implantação de estado final. Adote uma abordagem Zero Trust e um modelo de segurança que ajude a proteger seu locatário contra compromissos locais no início de sua jornada.
Implemente uma abordagem baseada na nuvem em primeiro lugar: estabeleça uma política segundo a qual todos os novos dispositivos, aplicações e serviços devem privilegiar a nuvem. Novos aplicativos e serviços que usam protocolos herdados (por exemplo, NTLM, Kerberos ou LDAP) devem ser apenas por exceção.
Transição para a nuvem: mude o gerenciamento e a integração de usuários, aplicativos e dispositivos do local para alternativas que priorizam a nuvem. Otimize o provisionamento de usuários aproveitando os recursos de provisionamento que priorizam a nuvem e se integram ao Microsoft Entra ID.
A transformação muda a forma como os usuários realizam tarefas e como as equipes de suporte fornecem suporte ao usuário. A organização deve conceber e implementar iniciativas ou projetos de forma a minimizar o impacto na produtividade dos utilizadores.
Como parte da transformação, a organização introduz recursos de autoatendimento do IAM. Algumas partes da força de trabalho se adaptam mais facilmente ao ambiente de usuário de autoatendimento predominante em empresas baseadas em nuvem.
Os aplicativos antigos podem precisar ser atualizados ou substituídos para funcionar bem em ambientes de TI baseados em nuvem. As atualizações ou substituições de aplicativos podem ser caras e demoradas. O planejamento e outras etapas também devem levar em conta a idade e a capacidade das aplicações da organização.