реализации ориентированного на облако подхода;
В основном это этап, определяемый процессами и политиками, для остановки или ограничения, насколько это возможно, добавления новых зависимостей в Active Directory с реализацией ориентированного на облако подхода для удовлетворения нового спроса на ИТ-решения.
На этом этапе важно определить внутренние процессы, которые приведут к добавлению новых зависимостей в Active Directory. Например, в большинстве организаций есть процесс управления изменениями, который необходимо соблюдать при внедрении новых сценариев, возможностей и решений. Мы настоятельно рекомендуем убедиться, что эти процессы утверждения изменений обновлены с учетом следующего:
- добавлен шаг оценки того, будет ли предлагаемое изменение добавлять новые зависимости в Active Directory;
- По возможности попросите оценить альтернативные варианты Microsoft Entra.
Пользователи и группы
Вы можете дополнить атрибуты пользователей в идентификаторе Microsoft Entra, чтобы сделать больше атрибутов пользователей доступными для включения. Примеры распространенных сценариев, для которых требуются расширенные атрибуты пользователей:
Подготовка приложений: источник данных подготовки приложений — это идентификатор Microsoft Entra, а необходимые атрибуты пользователя должны находиться там.
Авторизация приложения: маркер, который проблемы с идентификатором Microsoft Entra могут включать утверждения, созданные из атрибутов пользователей, чтобы приложения могли принимать решения об авторизации на основе утверждений в маркере. Он также может содержать атрибуты, поступающие из внешних источников данных через настраиваемый поставщик утверждений.
Заполнение и обслуживание членства в группах: динамические группы членства обеспечивают динамическое заполнение групп на основе атрибутов пользователей, таких как сведения о отделе.
Эти две ссылки содержат рекомендации по внесению изменений в схему:
Эти ссылки содержат дополнительные сведения об этом разделе, но не относятся к изменению схемы:
Следующие ссылки содержат дополнительные сведения о группах.
Создание или изменение динамической группы и получение состояния в идентификаторе Microsoft Entra
Использование групп самообслуживания для управления группами, инициированными пользователем
Подготовка приложений на основе атрибутов с фильтрами области или что такое управление правами Microsoft Entra? (для доступа к приложениям)
Ограничение разрешений гостевого доступа в идентификаторе Microsoft Entra
На этом этапе вы и ваша команда можете счесть необходимым изменить текущую подготовку сотрудников для использования только облачных учетных записей. Усилия являются нетривиальными, но не обеспечивают достаточно бизнес-ценности. Мы рекомендуем вам запланировать этот переход на другом этапе преобразования.
.
Клиентские рабочие станции традиционно присоединяются к Active Directory и управляются с помощью объектов групповой политики (ГОП) или решений управления устройствами, таких как Microsoft Configuration Manager. Ваши команды разработают новую политику и процесс для предотвращения присоединения новых рабочих станций к домену. Ключевые моменты:
Обязательно присоединитесь к Microsoft Entra для новых клиентских рабочих станций Windows, чтобы достичь "больше присоединения к домену".
Управление рабочими станциями из облака с помощью решений Unified Endpoint Management (UEM), таких как Intune.
Windows Autopilot может помочь в упрощении внедрения и подготовки устройств, чтобы обеспечить выполнение этих директив.
Решение для локального администратора Windows (LAPS) позволяет облачному решению управлять паролями учетных записей локального администратора.
Подробнее см. в статье Подробнее об ориентированных на облако конечных точках.
Приложения
Традиционно серверы приложений часто присоединяются к домену локальная служба Active Directory, чтобы они могли использовать встроенную проверку подлинности Windows (Kerberos или NTLM), запросы к каталогам через LDAP и управление серверами через GPO или Microsoft Configuration Manager.
Организация имеет процесс оценки альтернатив Microsoft Entra при рассмотрении новых служб, приложений или инфраструктуры. Директивы для облачного подхода к приложениям должны быть следующими. (Новые локальные приложения или устаревшие приложения могут допускаться как исключение лишь в том редком случае, когда более новых альтернатив просто не существует.)
Предоставьте рекомендацию по изменению политики закупок и политики разработки приложений, чтобы требовать современные протоколы (OIDC/OAuth2 и SAML) и пройти проверку подлинности с помощью идентификатора Microsoft Entra. Новые приложения также должны поддерживать подготовку приложений Microsoft Entra и не зависят от запросов LDAP. Исключения требуют явного рассмотрения и утверждения.
Внимание
В зависимости от ожидаемых требований приложений, требующих устаревших протоколов, можно выбрать развертывание доменных служб Microsoft Entra, если более текущие альтернативные варианты не будут работать.
Предоставьте рекомендацию по созданию политики для определения приоритетов использования полностью облачных альтернатив. Политика должна ограничивать развертывание новых серверов приложений доменом. Ниже перечислены типичные сценарии замены серверов, присоединенных к Active Directory, облачными решениями.
Файловые серверы
SharePoint или OneDrive обеспечивают поддержку совместной работы в решениях Microsoft 365, а также встроенные функции управления, управления рисками, безопасности и соответствия требованиям.
Файлы Azure предоставляют полностью управляемые общие папки в облаке, которые доступны через стандартный отраслевой протокол SMB или NFS. Клиенты могут использовать собственную проверку подлинности Microsoft Entra для Файлы Azure через Интернет без прямой видимости контроллера домена.
Идентификатор Microsoft Entra работает со сторонними приложениями в коллекции приложений Майкрософт.
Серверы печати
Если в вашей организации есть требование приобретать только принтеры, совместимые с универсальной печатью, см. статью об интеграции с партнерами.
Создание моста с соединителем универсальной печати для несовместимых принтеров.