实现云优先方法
这主要是一个流程和策略驱动的阶段,目的是尽可能停止或限制向 Active Directory 添加新的依赖项,并针对 IT 解决方案的新需求实现云优先方法。
此时,关键是要确定哪些内部进程会导致在 Active Directory 上添加新依赖项。 例如,在实现新的方案、功能和解决方案之前,大多数组织都有一个必须遵循的变更管理流程。 强烈建议务必更新这些变更审批流程来:
- 添加一个步骤来评估提议的更改是否会在 Active Directory 上添加新的依赖项。
- 如果可能,请求评估 Microsoft Entra 替代方案。
用户和组
可以在 Microsoft Entra ID 中扩充用户属性,使更多的用户属性可供包含。 需要丰富用户属性的常见方案示例包括:
应用预配:应用预配的数据源是 Microsoft Entra ID,必须有必要的用户属性。
应用程序授权:Microsoft Entra ID 颁发的令牌可包含根据用户属性生成的声明,以便应用程序可根据令牌中的声明做出授权决策。 它还可以包含通过自定义声明提供程序来自外部数据源的属性。
组成员资格填充和维护:动态成员资格组支持根据用户属性(如部门信息)对组进行动态填充。
这两个链接提供有关进行架构更改的指导:
这些链接提供有关本主题但不特定于架构更改的其他信息:
这些链接提供有关组的详细信息:
在此阶段,你和你的团队可能会觉得有必要更改当前的员工预配,以使用仅限云的帐户。 这项工作是有意义的,但没有提供足够的业务价值。 建议在转换的不同阶段规划此转换。
设备
客户端工作站通常加入到 Active Directory 中,并通过组策略对象 (GPO) 或设备管理解决方案(例如 Microsoft Configuration Manager)进行管理。 你的团队将建立一个新的策略和流程,以防新部署的工作站加入域。 要点包括:
强制新的 Windows 客户端工作站加入 Microsoft Entra,以实现“不再加入域”。
使用统一终结点管理 (UEM) 解决方案(如 Intune)从云管理工作站。
Windows Autopilot 可帮助建立简化的加入和设备预配,从而强制执行这些指令。
Windows 本地管理员密码解决方案 (LAPS) 使云优先解决方案能够管理本地管理员帐户的密码。
有关详细信息,请参阅详细了解云原生终结点。
应用程序
传统上,应用程序服务器通常加入到本地 Active Directory 域中,以便可利用 Windows 集成身份验证(Kerberos 或 NTLM)、使用 LDAP 的目录查询和使用 GPO 或 Microsoft Configuration Manager 的服务器管理。
在考虑新的服务、应用或基础结构时,组织有一个 Microsoft Entra 替代方案评估流程。 针对应用程序的云优先方法的指令应如下所示。 (在没有新式替代方案时,新的本地应用程序或旧版应用程序应该是很罕见的例外。)
提供相关建议,以将采购策略和应用程序开发策略更改为需要新式协议(OIDC/OAuth2 和 SAML)并使用 Microsoft Entra ID 进行身份验证。 新应用还应支持 Microsoft Entra 应用预配,并且不依赖于 LDAP 查询。 例外需要显式评审和批准。
重要
根据需要旧式协议的应用程序的预期需求,可在更多当前替代方案不起作用时选择部署 Microsoft Entra 域服务。
提供相关建议,便于创建一个策略来设定云原生替代方案的使用优先顺序。 该策略应限制在域中部署新的应用程序服务器。 替换加入 Active Directory 的服务器的常见云原生方案包括:
文件服务器:
SharePoint 或 OneDrive 提供跨 Microsoft 365 解决方案和内置治理、风险、安全性与合规性的协作支持。
Azure 文件存储在云中提供完全托管的文件共享,这些共享项可通过行业标准 SMB 或 NFS 协议进行访问。 客户可通过 Internet 对 Azure 文件存储使用本机 Microsoft Entra 身份验证,而无需访问域控制器。
Microsoft Entra ID 与 Microsoft 应用程序库中的第三方应用程序一起使用。
打印服务器: