Első felhőbeli megközelítés implementálása

Ez főként egy folyamat- és szabályzatalapú fázis, ameddig csak lehetséges, új függőségeket adhat hozzá az Active Directoryhoz, és az informatikai megoldások új igényeinek első felhőbeli megközelítését valósíthatja meg.

Ezen a ponton kulcsfontosságú azokat a belső folyamatokat azonosítani, amelyek új függőségek hozzáadásához vezetnek az Active Directoryban. A legtöbb szervezetnek például olyan változáskezelési folyamata lenne, amelyet az új forgatókönyvek, funkciók és megoldások implementálása előtt kell követni. Határozottan javasoljuk, hogy a módosítás-jóváhagyási folyamatok frissítése a következőre legyen frissítve:

• Adjon hozzá egy lépést annak kiértékeléséhez, hogy a javasolt módosítás új függőségeket adna-e hozzá az Active Directoryhoz.
• Ha lehetséges, kérje a Microsoft Entra alternatíváinak kiértékelését.

Felhasználók és csoportok

A Microsoft Entra ID-ban bővítheti a felhasználói attribútumokat, így további felhasználói attribútumok érhetők el a felvételhez. A gazdag felhasználói attribútumokat igénylő gyakori forgatókönyvek például a következők:

• Alkalmazás kiépítése: Az alkalmazáskiépítés adatforrása a Microsoft Entra ID, és a szükséges felhasználói attribútumoknak ott kell lenniük.

• Alkalmazás-engedélyezés: A Microsoft Entra ID-problémákat okozó jogkivonatok tartalmazhatnak felhasználói attribútumokból létrehozott jogcímeket, hogy az alkalmazások a jogkivonatban szereplő jogcímek alapján engedélyezési döntéseket hozzanak. Tartalmazhat olyan attribútumokat is, amelyek külső adatforrásokból származnak egy egyéni jogcímszolgáltatón keresztül.

• Csoporttagságok sokasága és karbantartása: A dinamikus tagsági csoportok felhasználói attribútumok, például részlegadatok alapján teszik lehetővé a csoportok dinamikus populációját.

Ez a két hivatkozás útmutatást nyújt a sémamódosításokhoz:

• A Microsoft Entra-séma és az egyéni kifejezések ismertetése

• A Microsoft Entra Connect által szinkronizált attribútumok

Ezek a hivatkozások további információt nyújtanak erről a témakörről, de nem kifejezetten a séma módosítására vonatkoznak:

• Microsoft Entra sémakiterjesztési attribútumok használata jogcímekben – Microsoft Identitásplatform

• Mik az egyéni biztonsági attribútumok a Microsoft Entra-azonosítóban (előzetes verzió)?

• A Microsoft Entra attribútumleképezéseinek testreszabása az alkalmazáskiépítésben

• Választható jogcímek megadása a Microsoft Entra-alkalmazásokhoz – Microsoft Identitásplatform

Ezek a hivatkozások további információkat nyújtanak a csoportokról:

• Dinamikus csoport létrehozása vagy szerkesztése, állapot lekérése a Microsoft Entra-azonosítóban

• Önkiszolgáló csoportok használata a felhasználó által kezdeményezett csoportkezeléshez

• Attribútumalapú alkalmazáskiépítés hatókörkezelési szűrőkkel vagy Mi a Microsoft Entra-jogosultságkezelés? (alkalmazáshozzáféréshez)

• Csoportok összehasonlítása

• Vendéghozzáférés-engedélyek korlátozása a Microsoft Entra-azonosítóban

Előfordulhat, hogy Ön és csapata kénytelen módosítani a jelenlegi alkalmazotti kiépítést, hogy csak felhőalapú fiókokat használjon ebben a szakaszban. Az erőfeszítés nemtriviális, de nem biztosít elegendő üzleti értéket. Javasoljuk, hogy ezt az átmenetet az átalakítás egy másik fázisában tervezze meg.

Eszközök

Az ügyfél-munkaállomások hagyományosan csatlakoznak az Active Directoryhoz, és csoportházirend-objektumokkal (GPO-kkal) vagy eszközfelügyeleti megoldásokkal, például a Microsoft Configuration Managerrel vannak felügyelve. A csapatok új szabályzatot és folyamatot hoznak létre, hogy megakadályozzák az újonnan üzembe helyezett munkaállomások tartományhoz való csatlakozását. A legfontosabb pontok a következők:

• A Microsoft Entra csatlakozásának meghatalmazása új Windows-ügyfél-munkaállomásokhoz a "nincs több tartományhoz való csatlakozás" megvalósításához.

• A felhőből származó munkaállomások kezelése egységes végpontkezelési (UEM) megoldások, például az Intune használatával.

A Windows Autopilot segítségével egyszerűbb előkészítést és eszközkiépítést hozhat létre, amely érvényesítheti ezeket az irányelveket.

A Windows helyi rendszergazdai jelszómegoldás (LAPS) lehetővé teszi, hogy egy felhőbeli megoldás kezelje a helyi rendszergazdai fiókok jelszavát.

További információ: További információ a natív felhőbeli végpontokról.

Alkalmazások

Az alkalmazáskiszolgálók hagyományosan gyakran csatlakoznak egy helyi Active Directory tartományhoz, így használhatják a Windows integrált hitelesítést (Kerberos vagy NTLM), címtár-lekérdezéseket LDAP-n keresztül, valamint kiszolgálófelügyeletet a csoportházirend-objektumon vagy a Microsoft Configuration Manageren keresztül.

A szervezetnek van egy folyamata a Microsoft Entra alternatíváinak kiértékelésére, amikor új szolgáltatásokat, alkalmazásokat vagy infrastruktúrát fontolgat. Az alkalmazások első felhőalapú megközelítésére vonatkozó irányelveknek a következőknek kell lenniük. (Az új helyszíni vagy örökölt alkalmazások ritka kivételt képeznek, ha nincs modern alternatíva.)

• Adjon meg egy javaslatot a beszerzési szabályzat és az alkalmazásfejlesztési szabályzat módosítására, hogy modern protokollokat (OIDC/OAuth2 és SAML) igényeljen, és hitelesítse a Microsoft Entra ID használatával. Az új alkalmazásoknak támogatniuk kell a Microsoft Entra-alkalmazások kiépítését is, és nem függenek az LDAP-lekérdezésekhez. A kivételekhez explicit felülvizsgálatra és jóváhagyásra van szükség.

  Fontos

  Az örökölt protokollokat igénylő alkalmazások várható igényeitől függően a Microsoft Entra Domain Services üzembe helyezését is választhatja, ha a jelenlegi alternatívák nem működnek.

• Adjon meg egy javaslatot egy olyan szabályzat létrehozására, amely rangsorolja a natív felhőbeli alternatívák használatát. A szabályzatnak korlátoznia kell az új alkalmazáskiszolgálók tartományra való telepítését. Az Active Directoryhoz csatlakoztatott kiszolgálók lecserélésére gyakran használt natív felhőbeli forgatókönyvek a következők:

  • Fájlkiszolgálók:

    • A SharePoint vagy a OneDrive együttműködési támogatást nyújt a Microsoft 365-megoldásokhoz, valamint a beépített irányításhoz, kockázathoz, biztonsághoz és megfelelőséghez.

    • Az Azure Files teljes mértékben felügyelt fájlmegosztásokat kínál a felhőben, amelyek az iparági szabványnak megfelelő SMB vagy NFS protokollon keresztül érhetők el. Az ügyfelek natív Microsoft Entra-hitelesítést használhatnak az Azure Fileshoz az interneten keresztül anélkül, hogy a tartományvezérlőt szem elől tévesztenék.

    • A Microsoft Entra ID külső alkalmazásokkal működik a Microsoft alkalmazáskatalógusában.

  • Nyomtatókiszolgálók:

    • Ha szervezete rendelkezik univerzális nyomtatással kompatibilis nyomtatók beszerzésére vonatkozó feladattal, tekintse meg a partnerintegrációkat.

    • Hidat a Univerzális nyomtatás összekötője a nem kompatibilis nyomtatókhoz.

Következő lépések

• Bevezetés
• Felhőátalakítási helyzet
• Microsoft Entra-lábnyom létrehozása
• Váltás a felhőre