Уровень облачной трансформации

Active Directory, идентификатор Microsoft Entra и другие средства Майкрософт находятся в основе управления удостоверениями и доступом (IAM). Например, службы домен Active Directory (AD DS) и Microsoft Configuration Manager предоставляют управление устройствами в Active Directory. В идентификаторе Microsoft Entra Intune предоставляет ту же возможность.

В рамках большинства инициатив по модернизации, миграции или реализации модели "Никому не доверяй" организации переносят операции IAM из локальной среды или решений IaaS (инфраструктура как услуга) в полностью облачные решения. Для ИТ-среды, используюющей продукты и службы Майкрософт, Active Directory и Идентификатор Microsoft Entra играют роль.

Многие компании, которые переносятся из Active Directory в идентификатор Microsoft Entra ID, начинаются с среды, аналогичной приведенной ниже схеме. На этой схеме отражены три основных компонента.

• Приложения. Сюда относятся все приложения, ресурсы и базовые серверы, присоединенные к домену.

• Устройства. Сюда относятся клиентские устройства, присоединенные к домену.

• Пользователи и группы: представляет удостоверения человека и рабочей нагрузки и атрибуты для доступа к ресурсам и членства в группах для создания управления и политики.

Корпорация Майкрософт смоделировала пять состояний трансформации, которые сопоставлены с типичными бизнес-целями наших клиентов. По мере изменения целей клиенты обычно переходят от одного состояния к следующему в комфортном для них темпе.

Эти пять состояний имеют условия выхода, позволяющие определить, на каком этапе находится ваша среда сейчас. Некоторые проекты, например по миграции приложений, включают все пять состояний. В некоторых других проекта будет представлено только одно состояние.

В этом содержимом приводятся подробные рекомендации по осознанному преобразованию ролей персонала, процессов и технологий. Они помогут вам выполнить следующие процессы:

• Установите пространство Microsoft Entra.

• реализация ориентированного на облако подхода;

• начало миграции из среды Active Directory.

Рекомендации сгруппированы по таким темам: управление пользователями, управление устройствами и управление приложениями (основываясь на приведенной выше классификации).

Организации, созданные в Microsoft Entra, а не в Active Directory, не имеют устаревшей локальной среды, с которой должны бороться более установленные организации. Для них и для тех клиентов, которые решили полностью воссоздать ИТ-среду в облаке, по мере развития этой среды может наступить состояние полного перехода в облако.

Для клиентов с существующими локальными ИТ-средами процесс трансформации будет более сложным и потребует тщательного планирования. Кроме того, так как Идентификатор Active Directory и Microsoft Entra являются отдельными продуктами, предназначенными для различных ИТ-сред, они не имеют подобных функций. Например, идентификатор Microsoft Entra id не имеет понятия доменов и лесов Active Directory.

Пять состояний трансформации

В организациях корпоративного размера, преобразование IAM или даже преобразование из Active Directory в идентификатор Microsoft Entra ID обычно является многолетней работой с несколькими состояниями. Сначала вам нужно проанализировать среду для определения текущего состояния, а затем поставить цели для следующего состояния. Ваша цель может полностью удалить необходимость в Active Directory или вы можете не перенести некоторые возможности в идентификатор Microsoft Entra и оставить его на месте.

Эти состояния логически группируют инициативы в проекты, продвигающие вас к завершению трансформации. При сменах состояния вы создаете промежуточные решения. Промежуточные решения позволяют ИТ-среде поддерживать операции IAM как в Active Directory, так и в идентификаторе Microsoft Entra. Промежуточные решения также должны обеспечивать взаимодействие двух сред.

На схеме ниже приведены пять состояний:

Примечание.

Состояния на этой диаграмме представляют собой логическую последовательность преобразования облака. Ваша готовность к переходу из одного состояния в другое зависит от уже реализованных функциональных возможностей и возможности переноса этих возможностей в облако.

Состояние 1. С подключением к облаку

В подключенном к облаку состоянии организации создали клиент Microsoft Entra, чтобы обеспечить производительность пользователей и средства совместной работы. Этот арендатор полностью готов к работе.

Большинство компаний, которые используют продукты и службы Майкрософт в своих ИТ-средах, уже находятся как минимум в этом состоянии. Из-за необходимости обслуживать одновременно локальную и облачную среды, а также поддерживать взаимодействие между ними, эксплуатационные издержки в этом режиме могут быть высокими. Специалисты должны иметь навыки работы в обеих средах, чтобы обеспечить надлежащую поддержку для пользователей и организации.

В этом состоянии:

• Устройства присоединяются к Active Directory и управляются через групповую политику или локальные средства управления устройствами.
• Пользователи управляются в Active Directory, подготавливаются через локальные системы управления удостоверениями (IDM) и синхронизируются с идентификатором Microsoft Entra с помощью Microsoft Entra Подключение.
• Приложения проходят проверку подлинности в Active Directory и на серверах федерации (например, в службах федерации Active Directory (AD FS)) через средства управления веб-доступом (WAM), Microsoft 365 или сторонние средства, например SiteMinder и Oracle Access Manager.

Состояние 2. Гибридная среда

В гибридном состоянии находятся организации, которые начали применять облачные возможности в дополнение к локальной среде. Для решений можно планировать сокращение сложности, улучшение состояния безопасности и уменьшение объема используемых локальной средой ресурсов.

Во время перехода и во время работы в этом состоянии организации увеличивают навыки и опыт использования идентификатора Microsoft Entra для решений IAM. Так как учетные записи пользователей и вложения устройств являются относительно простыми и обычной частью повседневных ИТ-операций, большинство организаций использовали этот подход.

В этом состоянии:

• Клиенты Windows присоединены к гибридному присоединению к Microsoft Entra.

• Платформы, отличные от Майкрософт, основанные на программном обеспечении как услуга (SaaS), начинают интегрироваться с идентификатором Microsoft Entra. Например, это могут быть Salesforce и ServiceNow.

• Устаревшие приложения выполняют проверку подлинности в идентификаторе Microsoft Entra с помощью прокси приложения или партнерских решений, которые предлагают безопасный гибридный доступ.

• Для пользователей включены функции самостоятельного сброса паролей (SSPR) и защиты паролей.

• Некоторые устаревшие приложения проходят проверку подлинности в облаке через доменные службы Microsoft Entra и прокси приложения.

Состояние 3. В основном облачная среда

В облачном состоянии команды по всей организации создают отслеживаемую запись успеха и начинают планировать перемещение более сложных рабочих нагрузок в идентификатор Microsoft Entra ID. Обычно на это состояние трансформации организациям требуется больше всего времени. Поскольку сложность среды, количество рабочих нагрузок и методов применения Active Directory со временем растут, организация должна пропорционально наращивать свои усилия и число инициатив по переходу в облако.

В этом состоянии:

• Новые клиенты Windows присоединяются к идентификатору Microsoft Entra и управляются с помощью Intune.
• Для подготовки пользователей и групп для локальных приложений используются соединители ECMA.
• Все приложения, которые ранее использовали федеративный поставщик федеративных удостоверений AD DS, например AD FS, обновляются для использования идентификатора Microsoft Entra для проверки подлинности. Если вы использовали проверку подлинности на основе паролей с помощью этого поставщика удостоверений для идентификатора Microsoft Entra ID, он переносится на синхронизацию хэша паролей.
• Разрабатываются планы перемещений файлов и служб печати на идентификатор Microsoft Entra ID.
• Идентификатор Microsoft Entra предоставляет возможности совместной работы между бизнесами (B2B).
• Новые группы создаются и управляются в идентификаторе Microsoft Entra.

Состояние 4. С минимальным участием Active Directory

Идентификатор Microsoft Entra предоставляет большинство возможностей IAM, в то время как пограничные варианты и исключения продолжают использовать локальная служба Active Directory. Состояния с минимальным участием Active Directory достичь будет сложнее, особенно в крупных организациях с большим техническим долгом в локальной среде.

Идентификатор Microsoft Entra продолжает развиваться по мере развития трансформации вашей организации, что позволяет создавать новые функции и инструменты, которые можно использовать. Из-за этого организациям придется отказываться от некоторых возможностей или создать новые для их замены.

В этом состоянии:

• Новые пользователи, подготовленные с помощью возможности подготовки кадров, создаются непосредственно в идентификаторе Microsoft Entra.

• План перемещения приложений, которые зависят от Active Directory и являются частью концепции для среды Microsoft Entra будущего состояния. Существует план по замене служб, которые переместить невозможно (например, службы файлов, печати и обмена факсами).

• Локальные рабочие нагрузки были заменены облачными альтернативами, такими как виртуальный рабочий стол Windows, Файлы Azure или универсальная печать. Вместо SQL Server используется Управляемый экземпляр SQL Azure.

Состояние 5. На 100 % облачная среда

В 100%-облачном состоянии идентификатор Microsoft Entra и другие средства Azure предоставляют все возможности IAM. Это состояние является долгосрочным стремлением для многих организаций.

В этом состоянии:

• Для IAM не требуются никакие локальные ресурсы.

• Все устройства управляются в идентификаторе Microsoft Entra и облачных решениях, таких как Intune.

• Жизненный цикл удостоверения пользователя управляется идентификатором Microsoft Entra.

• Все пользователи и группы изначально являются облачными.

• Сетевые службы, которые зависят от Active Directory, уже перемещены.

Аналогия преобразования

Переход между состояниями аналогичен смене расположений:

1. Создание нового расположения. Вы приобретаете целевой объект и устанавливаете подключение между текущим и новым расположениями. Эти действия позволяют сохранить производительность и работоспособность. Дополнительные сведения см. в разделе "Установка пространства Microsoft Entra". Этот процесс приводит вас в состояние 2.

2. Ограничение объема новых элементов в старом расположении. Вы прекращаете размещать ресурсы в старом расположении и задаете политику создания любых новых элементов в новом расположении. Дополнительные сведения см. в статье Реализация ориентированного на облако подхода. Эти действия подготавливают среду к переносу в большом масштабе и достижению состояния 3.

3. Перемещение существующих элементов в новое расположение. Вы перемещаете элементы из старого расположения в новое. Вы оцениваете бизнес-ценность элементов, чтобы определить, следует ли перемещать их как есть, обновлять их, заменять или нерекомендуть их. Дополнительные сведения см. в статье Переход в облако.

   Эти действия позволяют перейти от состояния 3 к состояниям 4 и 5. Нужное вам состояние будет зависеть от ваших бизнес-целей.

Ответственность за переход в облако несет не только команда идентификации. Организация должна координировать действия между группами и определить политики для изменения процессов и ролей сотрудников по мере изменения технологий. Скоординированный подход гарантирует стабильное развитие и уменьшает риск возврата к решениям в локальной среде. Привлеките команды, которые управляют следующим:

• Устройства и конечные точки
• Сети
• система безопасности/риски;
• Владельцы приложения
• Управление персоналом
• Совместная работа
• Закупки
• Operations

Высокоуровневое описание пути

Так как организации начинают миграцию IAM на идентификатор Microsoft Entra ID, они должны определить приоритет усилий на основе их конкретных потребностей. Специалисты по эксплуатации и поддержке должны пройти соответствующее обучение для работы в новой среде. На следующей диаграмме показано высокоуровневое путешествие по миграции из Active Directory в идентификатор Microsoft Entra ID:

• Установите пространство Microsoft Entra: инициализировать новый клиент Microsoft Entra для поддержки концепции развертывания конечного состояния. Реализуйте подход Никому не доверяй и модель безопасности, которая поможет защитить арендатор от локальных нарушений безопасности на ранних этапах перехода.

• Реализуйте подход с ориентацией на облако — разработайте политику ориентации на облако для всех новых устройств, приложений и служб. Новые приложения и службы, использующие устаревшие протоколы (например, NTLM, Kerberos или LDAP), допускаются только в виде исключений.

• Переход в облако — перенесите функции администрирования и интеграции пользователей, приложений и устройств из локальной среды в альтернативные решения с ориентацией на облако. Оптимизируйте подготовку пользователей, используя возможности подготовки в облаке, которые интегрируются с идентификатором Microsoft Entra.

Преобразование меняет процессы работы пользователей и действия службы поддержки. Организация должна планировать и реализовывать инициативы и проекты таким образом, чтобы свести к минимуму влияние на производительность пользователей.

В рамках преобразования организация предоставляет некоторые возможности IAM в режиме самообслуживания. Некоторые сотрудники быстрее адаптируются к средам самообслуживания, которые широко распространены в организациях, использующих облачные среды.

Возможно, придется обновить или заменить старые приложения, чтобы использовать их возможности в облачной ИТ-среде. Такие обновления и замены могут требовать значительных затрат средств и времени. Поэтому при планировании и на других промежуточных этапах необходимо учитывать возраст и возможности приложений, используемых организацией.

Следующие шаги

• Введение
• Установка места в Microsoft Entra
• Реализация ориентированного на облако подхода
• Переход в облако