Implementera en molnbaserad metod
Det är främst en process- och principdriven fas att stoppa, eller begränsa så mycket som möjligt, lägga till nya beroenden i Active Directory och implementera en molnbaserad metod för ny efterfrågan på IT-lösningar.
I det här läget är det viktigt att identifiera de interna processer som skulle leda till att nya beroenden läggs till i Active Directory. De flesta organisationer skulle till exempel ha en ändringshanteringsprocess som måste följas innan nya scenarier, funktioner och lösningar implementeras. Vi rekommenderar starkt att du ser till att de här processerna för ändringsgodkännande uppdateras till:
- Ta med ett steg för att utvärdera om den föreslagna ändringen skulle lägga till nya beroenden i Active Directory.
- Begär utvärdering av Microsoft Entra-alternativ när det är möjligt.
Användare och grupper
Du kan utöka användarattribut i Microsoft Entra-ID för att göra fler användarattribut tillgängliga för inkludering. Exempel på vanliga scenarier som kräver omfattande användarattribut är:
Appetablering: Datakällan för appetablering är Microsoft Entra-ID och nödvändiga användarattribut måste finnas där.
Programauktorisering: En token som Microsoft Entra ID-problem kan innehålla anspråk som genereras från användarattribut så att program kan fatta auktoriseringsbeslut baserat på anspråken i token. Den kan också innehålla attribut som kommer från externa datakällor via en anpassad anspråksprovider.
Gruppmedlemskapspopulation och underhåll: Dynamiska medlemskapsgrupper möjliggör dynamisk population av grupper baserat på användarattribut, till exempel avdelningsinformation.
Dessa två länkar ger vägledning om hur du gör schemaändringar:
De här länkarna innehåller mer information om det här ämnet men är inte specifika för att ändra schemat:
Använda Microsoft Entra-schematilläggsattribut i anspråk – Microsofts identitetsplattform
Vad är anpassade säkerhetsattribut i Microsoft Entra-ID (förhandsversion)?
Anpassa Microsoft Entra-attributmappningar i programetablering
Ange valfria anspråk till Microsoft Entra-appar – Microsofts identitetsplattform
De här länkarna innehåller mer information om grupper:
Skapa eller redigera en dynamisk grupp och hämta status i Microsoft Entra-ID
Använda självbetjäningsgrupper för användarinitierad grupphantering
Attributbaserad programetablering med omfångsfilter eller Vad är Microsoft Entra-berättigandehantering? (för programåtkomst)
Du och ditt team kan känna sig tvungna att ändra den aktuella etableringen av anställda så att endast molnkonton används i det här skedet. Ansträngningen är icke-prövande men ger inte tillräckligt med affärsvärde. Vi rekommenderar att du planerar den här övergången i en annan fas i omvandlingen.
Enheter
Klientarbetsstationer är traditionellt anslutna till Active Directory och hanteras via grupprincip objekt (GPO) eller enhetshanteringslösningar som Microsoft Configuration Manager. Dina team upprättar en ny princip och process för att förhindra att nyligen distribuerade arbetsstationer ansluts till domänen. Viktiga punkter är:
Ge Microsoft Entra behörighet att ansluta till nya Windows-klientarbetsstationer för att uppnå "ingen mer domänanslutning".
Hantera arbetsstationer från molnet med hjälp av UEM-lösningar (Unified Endpoint Management), till exempel Intune.
Windows Autopilot kan hjälpa dig att upprätta en effektiviserad registrering och enhetsetablering som kan framtvinga dessa direktiv.
Windows Local Administrator Password Solution (LAPS) gör det möjligt för en molnbaserad lösning att hantera lösenord för lokala administratörskonton.
Mer information finns i Läs mer om molnbaserade slutpunkter.
Appar
Traditionellt är programservrar ofta anslutna till en lokal Active Directory domän så att de kan använda Windows Integrated Authentication (Kerberos eller NTLM), katalogfrågor via LDAP och serverhantering via GPO eller Microsoft Configuration Manager.
Organisationen har en process för att utvärdera Microsoft Entra-alternativ när den överväger nya tjänster, appar eller infrastruktur. Direktiv för en molnbaserad metod för program bör vara följande. (Nya lokala program eller äldre program bör vara ett sällsynt undantag när det inte finns något modernt alternativ.)
Ge en rekommendation om att ändra anskaffningsprincipen och programutvecklingsprincipen så att de kräver moderna protokoll (OIDC/OAuth2 och SAML) och autentiserar med hjälp av Microsoft Entra-ID. Nya appar bör också ha stöd för Microsoft Entra-appetablering och har inget beroende av LDAP-frågor. Undantag kräver explicit granskning och godkännande.
Viktigt!
Beroende på de förväntade kraven för program som kräver äldre protokoll kan du välja att distribuera Microsoft Entra Domain Services när fler aktuella alternativ inte fungerar.
Ange en rekommendation för att skapa en princip för att prioritera användningen av molnbaserade alternativ. Principen bör begränsa distributionen av nya programservrar till domänen. Vanliga molnbaserade scenarier som ersätter Active Directory-anslutna servrar är:
Filservrar:
SharePoint eller OneDrive tillhandahåller samarbetsstöd för Microsoft 365-lösningar och inbyggd styrning, risk, säkerhet och efterlevnad.
Azure Files erbjuder fullständigt hanterade filresurser i molnet som är tillgängliga via branschstandardprotokollet SMB eller NFS. Kunder kan använda inbyggd Microsoft Entra-autentisering till Azure Files via Internet utan att behöva gå till en domänkontrollant.
Microsoft Entra ID fungerar med program från tredje part i Microsofts programgalleri.
Utskriftsservrar:
Om din organisation har mandat att skaffa Universal Print-kompatibla skrivare kan du läsa Partnerintegreringar.
Brygga med Anslutning för Universell utskrift för inkompatibla skrivare.