Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В связи с требованиями модернизации многие организации переносят решения по управлению удостоверениями и доступом (IAM) с локальных серверов в облако. Для развития облачной инициативы корпорация Майкрософт моделировала пять состояний трансформации для согласования с бизнес-целями клиента.
Чтобы свести к минимуму размер и сложность локальной инфраструктуры, следует использовать облачный подход. По мере роста присутствия в облаке ваше локальное присутствие доменных служб Active Directory (AD DS) может сократиться. Этот процесс называется минимизацией AD DS: только необходимые объекты остаются в локальном домене.
Одним из подходов к минимизации AD DS является преобразование группового источника полномочий (SOA) в идентификатор Microsoft Entra. Этот подход позволяет напрямую управлять этими группами в облаке. Вы можете удалить группы AD DS, которые больше не нужны в локальной среде. Если необходимо сохранить группу локально, можно настроить предоставление группы безопасности из Microsoft Entra ID в AD DS. Затем вы можете внести изменения в группу в идентификаторе Microsoft Entra и отразить эти изменения в локальной группе.
В этой статье описывается, как SOA группы может помочь ИТ-администраторам перейти к управлению группами с AD DS в облако. Кроме того, можно включить расширенные сценарии, такие как управление доступом с помощью системы управления идентификаторами Microsoft Entra. Для руководства по использованию группового SOA для ИТ-архитекторов см. Управление удостоверениями в режиме Cloud-First: руководство для ИТ-архитекторов
Видео: Источник авторитета группы Microsoft Entra
Ознакомьтесь с нашим видео, чтобы ознакомиться с SOA и как это поможет вам перейти в облако.
Упрощение миграции групп AD DS в облако путем преобразования группы SOA
Функция SOA группы позволяет организациям перемещать локальное управление доступом к приложениям в облако. Эта функция преобразует источник полномочий групп в AD DS, которые синхронизируются с Microsoft Entra ID с помощью Microsoft Entra Connect Sync или Microsoft Entra Cloud Sync. Поэтапный подход к миграции позволяет администраторам выполнять сложные задачи миграции, минимизируя неудобства для конечных пользователей.
Вместо того, чтобы перемещать весь каталог в облако сразу, с SOA на уровне объектов можно постепенно и управляемо уменьшать зависимости AD DS. Управление идентификаторами Microsoft Entra ID можно использовать для управления управлением доступом как для облачных, так и локальных приложений, связанных с группами безопасности.
Применение группового SOA к группе, которая синхронизируется с AD DS, переводит группу в облачный объект. После преобразования вы можете изменить, удалить и изменить членство в облачной группе непосредственно в облаке. Microsoft Entra Connect Sync учитывает преобразование и останавливает синхронизацию объекта из AD DS. С помощью группы SOA можно перенести несколько групп или выбрать определенные группы. После преобразования SOA можно выполнять все операции, доступные для облачной группы. При необходимости эти изменения можно отменить.
Групповые сценарии SOA
Управление доступом с помощью управления идентификаторами Microsoft Entra
Сценарий: В портфеле есть приложения, которые невозможно модернизировать или подключиться к AD DS. Эти приложения используют Kerberos или LDAP для запроса групп безопасности, не поддерживающих почту, в AD DS для определения разрешений доступа. Ваша цель — регулировать доступ к этим приложениям с помощью идентификатора Microsoft Entra ID и управления идентификаторами Microsoft Entra. Эта цель требует, чтобы сведения о членстве в группах, которыми управляет Microsoft Entra, доступны для приложений.
Решение: Вы можете достичь своей цели одним из двух способов:
Концертная группа SOA локальных групп. Восстановите группы в AD DS. В этой модели вам не нужно изменять приложение или создавать новые группы. Дополнительные сведения см. в разделе "Управление локальными доменными службами Active Directory" (Kerberos) с помощью системы управления идентификаторами Microsoft Entra.
Чтобы реплицировать группы в AD DS, создайте их с нуля в идентификаторе Microsoft Entra в качестве новых групп безопасности облака. Настройте их в AD DS как универсальные группы. В этой модели можно изменить приложение на использование новых идентификаторов безопасности группы. Если вы используете модель разрешений "Учётная запись > глобальный > локальный домен", вложите недавно созданную группу в существующую группу. Дополнительные сведения см. в руководстве по подготовке групп к доменным службам Active Directory с помощью Microsoft Entra Cloud Sync.
Минимизация AD DS
Сценарий: Вы модернизировали некоторые или все приложения и удалили необходимость использования групп AD DS для доступа. Например, эти приложения теперь используют групповые утверждения на языке разметки утверждений безопасности (SAML) или OpenID Connect, предоставляемые Microsoft Entra ID, в отличие от систем федерации, таких как AD FS. Однако эти приложения по-прежнему используют существующую синхронизированную группу безопасности для управления доступом. Используя группу SOA, вы можете изменить членство в группе безопасности в облаке, полностью удалить группу безопасности AD DS и управлять группой безопасности облака с помощью возможностей управления идентификаторами Microsoft Entra ID.
Решение: Вы можете использовать группу SOA, чтобы сделать их облачными управляемыми группами и удалить их из AD DS. Вы можете продолжать создавать новые группы непосредственно в облаке. Дополнительные сведения см. в рекомендациях по управлению группами в облаке.
Удаление локальных зависимостей Exchange
Сценарий: Вы переносили все почтовые ящики Exchange пользователей в облако. Вы обновили приложения, использующие функции маршрутизации почты для использования современных методов проверки подлинности, таких как SAML и OpenID Connect. Вам больше не нужно управлять списками рассылки (DLs) и группами безопасности с поддержкой электронной почты (MESG) в AD DS. Ваша цель — перенести существующие DLs и MESG в облако. Затем вы обновляете эти группы до групп Microsoft 365 или управляете ими с помощью Exchange Online.
Решение: Вы можете достичь этой цели с помощью группы SOA, чтобы сделать их управляемыми в облаке группами и удалить их из AD DS. Эти группы можно изменить непосредственно в EXO или с помощью модулей Exchange PowerShell. Эти почтовые объекты нельзя управлять непосредственно в идентификаторе Microsoft Entra или с помощью API MS Graph.