Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это главным образом процесс и этап, управляемый политикой, чтобы остановить или ограничить максимально возможное количество зависимостей, добавив новые зависимости в доменные службы Active Directory (AD DS) и реализуя облачный подход к новым требованиям ИТ-решений.
На этом этапе важно определить внутренние процессы, которые привели бы к добавлению новых зависимостей в AD DS. Например, в большинстве организаций есть процесс управления изменениями, который необходимо соблюдать при внедрении новых сценариев, возможностей и решений. Мы настоятельно рекомендуем убедиться, что эти процессы утверждения изменений обновлены с учетом следующего:
- Включите шаг, чтобы оценить, будет ли предлагаемое изменение добавлять новые зависимости в AD DS.
- По возможности оцените альтернативные варианты Microsoft Entra.
Атрибуты
Вы можете дополнить атрибуты пользователей в идентификаторе Microsoft Entra, чтобы сделать больше атрибутов пользователей доступными для включения. Примеры распространенных сценариев, для которых требуются расширенные атрибуты пользователей:
Подготовка приложений: источник данных подготовки приложений — это идентификатор Microsoft Entra, а необходимые атрибуты пользователя должны находиться там.
Авторизация приложения: маркер, который проблемы с идентификатором Microsoft Entra могут включать утверждения, созданные из атрибутов пользователей, чтобы приложения могли принимать решения об авторизации на основе утверждений в маркере. Он также может содержать атрибуты, поступающие из внешних источников данных через настраиваемый поставщик утверждений.
Заполнение и обслуживание членства в группах: динамические группы членства обеспечивают динамическое заполнение групп на основе атрибутов пользователей, таких как сведения о отделе.
Эти две ссылки содержат рекомендации по внесению изменений в схему:
Эти ссылки содержат дополнительные сведения об этом разделе, но не относятся к изменению схемы:
- Подготовка приложений на основе атрибутов с фильтрами области или управление правами Microsoft Entra (для доступа к приложениям)
Группы
Облачный подход для групп включает создание новых групп в облаке. Если вам нужны локальные группы, подготовьте группы к доменным службам Active Directory (AD DS) с помощью Microsoft Entra Cloud Sync. Преобразуйте источник центра (SOA) существующих локальных групп для управления ими из Microsoft Entra.
Следующие ссылки содержат дополнительные сведения о группах.
Создание или изменение динамической группы и получение состояния в идентификаторе Microsoft Entra
Использование групп самообслуживания для управления группами, инициированными пользователем
Подготовка приложений на основе атрибутов с фильтрами области или что такое управление правами Microsoft Entra? (для доступа к приложениям)
Ограничение разрешений гостевого доступа в идентификаторе Microsoft Entra
Пользователи
Если в вашей организации нет зависимостей приложений в Active Directory, вы можете использовать облачный подход, подготовив этих пользователей непосредственно к идентификатору Microsoft Entra. Если существуют пользователи, которым не нужен доступ к Active Directory, но у которых настроены учетные записи Active Directory, их источник полномочий может быть изменен, что позволяет очистить их учетные записи Active Directory.
.
Клиентские рабочие станции традиционно присоединяются к Active Directory и управляются с помощью объектов групповой политики (ГОП) или решений управления устройствами, таких как Microsoft Configuration Manager. Ваши команды разработают новую политику и процесс для предотвращения присоединения новых рабочих станций к домену. Ключевые моменты:
Обязательно присоединитесь к Microsoft Entra для новых клиентских рабочих станций Windows, чтобы достичь "больше присоединения к домену".
Управление рабочими станциями из облака с помощью решений Unified Endpoint Management (UEM), таких как Intune.
Windows Autopilot может помочь в упрощении внедрения и подготовки устройств, чтобы обеспечить выполнение этих директив.
Решение для локального администратора Windows (LAPS) позволяет облачному решению управлять паролями учетных записей локального администратора.
Подробнее см. в статье Подробнее об ориентированных на облако конечных точках.
Приложения
Традиционно серверы приложений часто присоединяются к домену локальная служба Active Directory, чтобы они могли использовать встроенную проверку подлинности Windows (Kerberos или NTLM), запросы к каталогам через LDAP и управление серверами через GPO или Microsoft Configuration Manager.
Организация имеет процесс оценки альтернатив Microsoft Entra при рассмотрении новых служб, приложений или инфраструктуры. Директивы для облачного подхода к приложениям должны быть следующими. (Новые локальные приложения или устаревшие приложения могут допускаться как исключение лишь в том редком случае, когда более новых альтернатив просто не существует.)
Предоставьте рекомендацию по изменению политики закупок и политики разработки приложений, чтобы требовать современные протоколы (OIDC/OAuth2 и SAML) и пройти проверку подлинности с помощью идентификатора Microsoft Entra. Новые приложения также должны поддерживать подготовку приложений Microsoft Entra и не зависят от запросов LDAP. Исключения требуют явного рассмотрения и утверждения.
Внимание
В зависимости от ожидаемых требований приложений, требующих устаревших протоколов, можно выбрать развертывание доменных служб Microsoft Entra, если более текущие альтернативные варианты не будут работать.
Предоставьте рекомендацию по созданию политики для определения приоритетов использования полностью облачных альтернатив. Политика должна ограничивать развертывание новых серверов приложений доменом. К общим сценариям на основе облака для замены серверов-членов домена относятся:
Файловые серверы
SharePoint или OneDrive обеспечивают поддержку совместной работы в решениях Microsoft 365, а также встроенные функции управления, управления рисками, безопасности и соответствия требованиям.
Файлы Azure предоставляют полностью управляемые общие папки в облаке, которые доступны через стандартный отраслевой протокол SMB или NFS. Клиенты могут использовать собственную проверку подлинности Microsoft Entra для Файлы Azure через Интернет без прямой видимости контроллера домена.
Идентификатор Microsoft Entra работает со сторонними приложениями в коллекции приложений Майкрософт.
Серверы печати
Если в вашей организации есть требование приобретать только принтеры, совместимые с универсальной печатью, см. статью об интеграции с партнерами.
Создание моста с соединителем универсальной печати для несовместимых принтеров.