雲端轉換狀態
Active Directory、Microsoft Entra ID 和其他 Microsoft 工具都是身分識別與存取管理 (IAM) 的核心。 例如,Active Directory Domain Services (AD DS) 和 Microsoft Configuration Manager 提供 Active Directory 中的裝置管理。 在 Microsoft Entra ID 中,Intune 可提供相同的功能。
在大部分的現代化、移轉或零信任計畫中,組織都會將 IAM 活動從使用內部部署或基礎結構即服務 (IaaS) 解決方案轉移為使用內建雲端解決方案。 對於使用 Microsoft 產品和服務的 IT 環境,Active Directory 和 Microsoft Entra ID 扮演了重要的角色。
許多從 Active Directory 移轉至 Microsoft Entra ID 的公司都會從類似下圖的環境開始。 此圖表會覆疊三個要素:
應用程式:包括應用程式、資源,以及作為其基礎且已加入網域的伺服器。
裝置:著重於已加入網域的用戶端裝置。
使用者和群組:代表用於資源存取的人力和工作負載身分識別與屬性,以及治理和原則建立的群組成員資格。
Microsoft 已將五種轉換狀態模型化,這些狀態通常與客戶的商務目標一致。 隨著客戶的目標變得成熟,他們通常會按照符合其資源和文化的步調,從一種狀態轉移到下一種。
這五種狀態具有允出準則,可協助您判斷自己的環境目前所在何處。 某些專案 (例如應用程式移轉) 會歷經所有的五種狀態。 其他專案則只會處於單一狀態。
然後,該內容會提供更詳細的指引,其經過整理,來協助對人員、程序和技術進行的刻意變更。 本指南可協助您:
建立 Microsoft Entra 磁碟使用量。
實作雲端優先方法。
開始從 Active Directory 環境移轉。
根據上述要素,我們依據使用者管理、裝置管理和應用程式管理來彙整指引。
如果組織在 Microsoft Entra (而非 Active Directory) 中形成,就不會有更多已建立的組織要面對的舊版內部部署環境問題。 對於他們或完全在雲端中重新建立 IT 環境的客戶,在建立新的 IT 環境時,將能夠實現 100% 以雲端為中心的目標。
對於具有已建立的內部部署 IT 功能的客戶,轉換程序帶來了複雜度,需要仔細規劃。 此外,由於 Active Directory 和 Microsoft Entra ID 是以不同 IT 環境為目標的不同產品,因此並沒有對等的功能。 例如,Microsoft Entra ID 沒有 Active Directory 網域和樹系信任的概念。
五種轉換狀態
在企業級大小的組織中,IAM 轉換或甚至從 Active Directory 到 Microsoft Entra ID 的轉換通常需要多年的努力,且需歷經多種狀態。 您可以分析環境以判斷自己的目前狀態,然後為下一個狀態的設定目標。 您的目標可能會完全移除 Active Directory 的需求,或者您可能會決定不要將某些功能移轉至 Microsoft Entra ID,讓其留在原處。
這些狀態會以邏輯方式將計畫分組成專案,以便完成轉換。 在狀態轉換期間,您會採取過渡解決方案。 過渡解決方案可讓 IT 環境同時支援 Active Directory 和 Microsoft Entra ID 中的 IAM 作業。 過渡解決方案也必須讓兩個環境互通。
下圖顯示了這五種狀態:
注意
此圖中的狀態代表雲端轉換的邏輯進展。 從某個狀態移至下一個狀態的能力,取決於您所實作的功能和要移至雲端的功能。
狀態 1:連結雲端
在連結雲端狀態下,組織已建立 Microsoft Entra 租用戶,以此啟用使用者的生產力和共同作業工具。 租用戶可完全正常運作。
在自身 IT 環境中使用 Microsoft 產品和服務的大部分公司都已經處於或過了這種狀態。 在此狀態中,營運成本可能會較高,因為要維護內部部署環境和雲端環境,並要使其成為互動式的環境。 人員必須具備這兩個環境的專業知識,才能支援其使用者和組織。
在此狀態中:
- 裝置會加入 Active Directory,並透過群組原則或內部部署裝置管理工具受到管理。
- 使用者會在 Active Directory 中受到管理、透過內部部署身分識別管理 (IDM) 系統進行佈建,並透過 Microsoft Entra Connect 同步處理至 Microsoft Entra ID。
- 應用程式會透過 Web 存取管理 (WAM) 工具、Microsoft 365 或其他工具 (例如 SiteMinder 和 Oracle Access Manager),向 Active Directory 和同盟伺服器進行驗證,例如 Active Directory 同盟服務 (AD FS)。
狀態 2:混合式
在混合式狀態中,組織會開始透過雲端功能強化其內部部署環境。 您可以規劃解決方案來降低複雜度、提高安全性狀態,並減少內部部署環境的使用量。
在轉換期間和在此狀態下運作時,組織會使用適用於 IAM 的 Microsoft Entra ID 解決方案來提升技能與專業知識。 由於使用者帳戶和裝置連結較為簡單,而且這些在日常 IT 作業中也很常見,因此大部分的組織都使用此方法。
在此狀態中:
Windows 用戶端 Microsoft Entra 混合式聯結。
以軟體即服務 (SaaS) 為基礎的非 Microsoft 平台開始與 Microsoft Entra ID 整合。 範例包括 Salesforce 和 ServiceNow。
舊版應用程式會透過應用程式 Proxy 或提供安全混合式存取的合作夥伴解決方案,向 Microsoft Entra ID 進行驗證。
自助式密碼重設 (SSPR) 和使用者的密碼保護已經啟用。
有些舊版應用程式會透過 Microsoft Entra Domain Services 和應用程式 Proxy 在雲端中進行驗證。
狀態 3:雲端優先
在雲端優先狀態中,整個組織的團隊會建置成功的追蹤記錄,並開始規劃將更具挑戰性的工作負載移至 Microsoft Entra ID。 組織通常會在此轉換狀態中花費最多時間。 隨著 Active Directory 的複雜度、工作負載數目和使用量與日俱增,組織必須更加努力執行更多計畫,才能轉移至雲端。
在此狀態中:
- 新的 Windows 用戶端會加入 Microsoft Entra ID,並透過 Intune 受到管理。
- ECMA 連接器會用來佈建內部部署應用程式的使用者和群組。
- 先前使用 AD DS 整合式同盟識別提供者的所有應用程式 (例如 AD FS),都會更新為使用 Microsoft Entra ID 進行驗證。 如果您透過 Microsoft Entra ID 的識別提供者來使用密碼型驗證,則會移轉至密碼雜湊同步處理。
- 正在開發將檔案和列印服務移轉至 Microsoft Entra ID 的計劃。
- Microsoft Entra ID 提供企業對企業 (B2B) 共同作業功能。
- 在 Microsoft Entra ID 中建立和管理新的群組。
狀態 4:Active Directory 最小化
Microsoft Entra ID 提供大部分的 IAM 功能,而邊緣案例和例外狀況會繼續使用內部部署 Active Directory。 將 Active Directory 最小化的狀態較難以達成,對於具有大量內部部署技術債務的較大組織,尤為如此。
隨著組織的轉型成熟,Microsoft Entra ID 會持續發展,帶來可供您使用的新功能和工具。 組織必須淘汰功能或建置新功能,以便進行取代。
在此狀態中:
透過 HR 佈建功能佈建的新使用者,會直接建立於 Microsoft Entra ID 中。
正在執行相關計劃,以移動相依於 Active Directory、且屬於未來狀態 Microsoft Entra 環境願景的應用程式。 已擬定相關計劃,以取代不移動的服務 (檔案、列印或傳真服務)。
內部部署工作負載已取代為雲端替代方案,例如 Windows 虛擬桌面、Azure 檔案儲存體,或通用列印。 Azure SQL 受控執行個體取代了 SQL Server。
狀態 5:100% 雲端
在 100% 雲端狀態中,Microsoft Entra ID 和其他 Azure 工具均提供所有的 IAM 功能。 這個狀態是許多組織的長期渴望的目標。
在此狀態中:
不需要內部部署 IAM 使用量。
所有裝置都會在 Microsoft Entra ID 和雲端解決方案 (例如 Intune) 中受到管理。
使用者身分識別生命週期會透過 Microsoft Entra ID 受到管理。
所有使用者和群組都是雲端原生的。
依賴 Active Directory 的網路服務會重新配置。
轉換類比
狀態之間的轉換類似於位置的移動:
建立新位置:購買目的地,並建立目前位置與新位置之間的連線。 這些活動可讓您維持生產力和運作能力。 如需詳細資訊,請參閱建立 Microsoft Entra 磁碟使用量。 這些結果會將您轉換為狀態 2。
限制舊位置中的新項目:您停止投資舊位置,並設定原則,以便在新位置暫存新項目。 如需詳細資訊,請參閱實作雲端優先方法。 這些活動會設定大規模移轉的基礎,並讓您達到狀態 3。
將現有項目移至新位置:您將項目從舊位置移至新位置。 您可以評估項目的商務價值,以此判斷是要依現狀移動這些項目,還是升級、取代或淘汰這些項目。 如需詳細資訊,請參閱轉換至雲端。
這些活動可讓您完成狀態 3,並達到狀態 4 和 5。 根據您的商務目標,您可以決定要達到何種最終狀態。
轉換至雲端不只是身分識別小組的責任。 組織需進行跨小組的協調,以定義包含人員與程序變更以及技術的原則。 使用協調的方法有助於確保一致的進度,並降低回復至內部部署解決方案的風險。 需要管理下列項目的小組:
- 裝置/端點
- 網路
- 安全性/風險
- 應用程式擁有者
- 人力資源
- 共同作業
- 採購
- Operations
高階旅程
組織開始將 IAM 移轉至 Microsoft Entra ID 時,必須根據其特定需求來判斷投入資源的優先順序。 必須要訓練操作人員和支援人員,以便在新環境中執行其工作。 下圖顯示從 Active Directory 移轉至 Microsoft Entra ID 的高階旅程:
建立 Microsoft Entra 磁碟使用量:初始化新的 Microsoft Entra 租用戶,以支援最終狀態部署的願景。 採用零信任方法和安全性模型,可在旅程初期保護您的租用戶免於遭到內部部署入侵威脅。
實作雲端優先方法:建立所有新裝置、應用程式和服務都應以雲端優先的原則。 使用舊版通訊協定 (例如 NTLM、Kerberos 或 LDAP) 的新應用程式和服務應該只是例外。
轉換至雲端:將使用者、應用程式和裝置的管理與整合從內部部署移轉至雲端優先的替代方案。 利用與 Microsoft Entra ID 整合的雲端優先佈建功能,將使用者佈建最佳化。
該轉換會變更使用者完成工作的方式,以及支援小組提供使用者支援的方式。 組織應以盡可能避免影響使用者生產力的方式,來設計和實作計畫或專案。
在轉換得過程中,組織導入了自助式 IAM 功能。 部分員工更容易適應雲端式企業中普遍的自助使用者環境。
過時的應用程式可能需要更新或取代,才能在雲端式 IT 環境中順利運作。 應用程式的更新或取代可能會耗費大量的成本和時間。 規劃和其他階段也必須將組織應用程式的存留期和功能納入考量。