реализации ориентированного на облако подхода;

Это главным образом процесс и этап, управляемый политикой, чтобы остановить или ограничить максимально возможное количество зависимостей, добавив новые зависимости в доменные службы Active Directory (AD DS) и реализуя облачный подход к новым требованиям ИТ-решений.

На этом этапе важно определить внутренние процессы, которые привели бы к добавлению новых зависимостей в AD DS. Например, в большинстве организаций есть процесс управления изменениями, который необходимо соблюдать при внедрении новых сценариев, возможностей и решений. Мы настоятельно рекомендуем убедиться, что эти процессы утверждения изменений обновлены с учетом следующего:

  • Включите шаг, чтобы оценить, будет ли предлагаемое изменение добавлять новые зависимости в AD DS.
  • По возможности оцените альтернативные варианты Microsoft Entra.

Атрибуты

Вы можете дополнить атрибуты пользователей в идентификаторе Microsoft Entra, чтобы сделать больше атрибутов пользователей доступными для включения. Примеры распространенных сценариев, для которых требуются расширенные атрибуты пользователей:

  • Подготовка приложений: источник данных подготовки приложений — это идентификатор Microsoft Entra, а необходимые атрибуты пользователя должны находиться там.

  • Авторизация приложения: маркер, который проблемы с идентификатором Microsoft Entra могут включать утверждения, созданные из атрибутов пользователей, чтобы приложения могли принимать решения об авторизации на основе утверждений в маркере. Он также может содержать атрибуты, поступающие из внешних источников данных через настраиваемый поставщик утверждений.

  • Заполнение и обслуживание членства в группах: динамические группы членства обеспечивают динамическое заполнение групп на основе атрибутов пользователей, таких как сведения о отделе.

Эти две ссылки содержат рекомендации по внесению изменений в схему:

Эти ссылки содержат дополнительные сведения об этом разделе, но не относятся к изменению схемы:

Группы

Облачный подход для групп включает создание новых групп в облаке. Если вам нужны локальные группы, подготовьте группы к доменным службам Active Directory (AD DS) с помощью Microsoft Entra Cloud Sync. Преобразуйте источник центра (SOA) существующих локальных групп для управления ими из Microsoft Entra.

Следующие ссылки содержат дополнительные сведения о группах.

Пользователи

Если в вашей организации нет зависимостей приложений в Active Directory, вы можете использовать облачный подход, подготовив этих пользователей непосредственно к идентификатору Microsoft Entra. Если существуют пользователи, которым не нужен доступ к Active Directory, но у которых настроены учетные записи Active Directory, их источник полномочий может быть изменен, что позволяет очистить их учетные записи Active Directory.

.

Клиентские рабочие станции традиционно присоединяются к Active Directory и управляются с помощью объектов групповой политики (ГОП) или решений управления устройствами, таких как Microsoft Configuration Manager. Ваши команды разработают новую политику и процесс для предотвращения присоединения новых рабочих станций к домену. Ключевые моменты:

  • Обязательно присоединитесь к Microsoft Entra для новых клиентских рабочих станций Windows, чтобы достичь "больше присоединения к домену".

  • Управление рабочими станциями из облака с помощью решений Unified Endpoint Management (UEM), таких как Intune.

Windows Autopilot может помочь в упрощении внедрения и подготовки устройств, чтобы обеспечить выполнение этих директив.

Решение для локального администратора Windows (LAPS) позволяет облачному решению управлять паролями учетных записей локального администратора.

Подробнее см. в статье Подробнее об ориентированных на облако конечных точках.

Приложения

Традиционно серверы приложений часто присоединяются к домену локальная служба Active Directory, чтобы они могли использовать встроенную проверку подлинности Windows (Kerberos или NTLM), запросы к каталогам через LDAP и управление серверами через GPO или Microsoft Configuration Manager.

Организация имеет процесс оценки альтернатив Microsoft Entra при рассмотрении новых служб, приложений или инфраструктуры. Директивы для облачного подхода к приложениям должны быть следующими. (Новые локальные приложения или устаревшие приложения могут допускаться как исключение лишь в том редком случае, когда более новых альтернатив просто не существует.)

  • Предоставьте рекомендацию по изменению политики закупок и политики разработки приложений, чтобы требовать современные протоколы (OIDC/OAuth2 и SAML) и пройти проверку подлинности с помощью идентификатора Microsoft Entra. Новые приложения также должны поддерживать подготовку приложений Microsoft Entra и не зависят от запросов LDAP. Исключения требуют явного рассмотрения и утверждения.

    Внимание

    В зависимости от ожидаемых требований приложений, требующих устаревших протоколов, можно выбрать развертывание доменных служб Microsoft Entra, если более текущие альтернативные варианты не будут работать.

  • Предоставьте рекомендацию по созданию политики для определения приоритетов использования полностью облачных альтернатив. Политика должна ограничивать развертывание новых серверов приложений доменом. К общим сценариям на основе облака для замены серверов-членов домена относятся:

    • Файловые серверы

      • SharePoint или OneDrive обеспечивают поддержку совместной работы в решениях Microsoft 365, а также встроенные функции управления, управления рисками, безопасности и соответствия требованиям.

      • Файлы Azure предоставляют полностью управляемые общие папки в облаке, которые доступны через стандартный отраслевой протокол SMB или NFS. Клиенты могут использовать собственную проверку подлинности Microsoft Entra для Файлы Azure через Интернет без прямой видимости контроллера домена.

      • Идентификатор Microsoft Entra работает со сторонними приложениями в коллекции приложений Майкрософт.

    • Серверы печати

Следующие шаги