Felhőátalakítási helyzet

Az Active Directory, a Microsoft Entra ID és más Microsoft-eszközök az identitás- és hozzáférés-kezelés (IAM) központi részét képezik. A Active Directory tartományi szolgáltatások (AD DS) és a Microsoft Configuration Manager például eszközfelügyeletet biztosít az Active Directoryban. A Microsoft Entra ID-ban az Intune ugyanazt a képességet biztosítja.

A legtöbb modernizációs, migrálási vagy Teljes felügyelet kezdeményezés részeként a szervezetek az IAM-tevékenységeket a helyszíni vagy infrastrukturális (IaaS) megoldások helyett a felhőalapú megoldások használatára váltják. A Microsoft-termékeket és -szolgáltatásokat használó informatikai környezetekben az Active Directory és a Microsoft Entra ID szerepet játszik.

Az Active Directoryból a Microsoft Entra ID-be migrálandó vállalatok közül sok olyan környezettel kezdődik, amely az alábbi diagramhoz hasonló. A diagram három pillért fed át:

• Alkalmazások: Alkalmazásokat, erőforrásokat és azok mögöttes tartományhoz csatlakoztatott kiszolgálóit tartalmazza.

• Eszközök: A tartományhoz csatlakoztatott ügyféleszközökre összpontosít.

• Felhasználók és csoportok: Emberi és számítási feladatok identitásait és attribútumait jelöli az erőforrás-hozzáféréshez, valamint a csoporttagsághoz az irányítás és a szabályzatok létrehozásához.

A Microsoft öt olyan átalakulási állapotot modellezett, amelyek gyakran összhangban vannak az ügyfelek üzleti céljaival. Az ügyfelek céljainak érlelése során jellemző, hogy az erőforrásoknak és a kultúrának megfelelő ütemben váltanak az egyik állapotról a másikra.

Az öt állam kilépési feltételekkel rendelkezik, amelyek segítenek meghatározni, hogy hol található a környezet. Egyes projektek, például az alkalmazások migrálása mind az öt államra kiterjednek. Más projektek egyetlen állapotra terjednek ki.

A tartalom ezután részletesebb útmutatást nyújt, amely az emberek, a folyamatok és a technológia szándékos módosításának segítésére szolgál. Az útmutató a következő segítségére lehet:

• Microsoft Entra-lábnyom létrehozása.

• Felhőbeli első megközelítés implementálása.

• Kezdje el a migrálást az Active Directory-környezetből.

Az útmutatást a felhasználókezelés, az eszközkezelés és az alkalmazáskezelés az előző pillérek szerint szervezi.

Az Active Directory helyett a Microsoft Entra-ban létrehozott szervezetek nem rendelkeznek az örökölt helyszíni környezettel, amellyel a fejlettebb szervezeteknek kell megküzdeniük. Számukra vagy azoknak az ügyfeleknek, akik teljesen újra létrehozták az informatikai környezetüket a felhőben, a 100%-os felhőközpontúvá válás az új informatikai környezet kialakításakor fordulhat elő.

A már meglévő helyszíni informatikai képességgel rendelkező ügyfelek számára az átalakítási folyamat összetettséget vezet be, amely gondos tervezést igényel. Mivel az Active Directory és a Microsoft Entra ID különálló termékek, amelyek különböző informatikai környezetekre irányulnak, nem rendelkeznek hasonló funkciókkal. A Microsoft Entra-azonosító például nem rendelkezik Az Active Directory-tartomány és az erdő megbízhatóságának fogalma.

Az átalakítás öt állapota

A nagyvállalati méretű szervezetekben az IAM-átalakítás, vagy akár az Active Directoryról a Microsoft Entra ID-ra való átalakítás általában több éves munka, több állammal. Elemezheti a környezetet az aktuális állapot meghatározásához, majd kitűzheti a következő állapot célját. Előfordulhat, hogy a cél teljesen megszünteti az Active Directory szükségességét, vagy dönthet úgy, hogy nem migrál bizonyos képességeket a Microsoft Entra-azonosítóba, és nem hagyja a helyén.

Az államok logikusan projektekbe csoportosítják a kezdeményezéseket az átalakítás befejezése érdekében. Az állapotváltások során köztes megoldásokat alkalmazhat. Az köztes megoldások lehetővé teszik, hogy az informatikai környezet támogassa az IAM-műveleteket az Active Directoryban és a Microsoft Entra ID-ban is. Az ideiglenes megoldásoknak lehetővé kell tenni a két környezet együttműködését is.

Az alábbi diagram az öt állapotot mutatja be:

1. állapot: Felhőhöz csatlakoztatva

A felhőhöz csatolt állapotban a szervezetek létrehoztak egy Microsoft Entra-bérlőt a felhasználók hatékonyságnövelő és együttműködési eszközeinek engedélyezéséhez. A bérlő teljes mértékben működőképes.

A Microsoft-termékeket és -szolgáltatásokat az informatikai környezetben használó vállalatok többsége már ebben az állapotban van vagy azon túl van. Ebben az állapotban az üzemeltetési költségek magasabbak lehetnek, mivel van egy helyszíni környezet és egy felhőkörnyezet, amely fenntartja és interaktívsá teszi azokat. Kapcsolatok mindkét környezetben szakértelemmel kell rendelkezniük a felhasználók és a szervezet támogatásához.

Ebben az állapotban:

• Az eszközök az Active Directoryhoz csatlakoznak, és csoportházirenddel vagy helyszíni eszközfelügyeleti eszközökkel vannak felügyelve.
• A felhasználók kezelése az Active Directoryban történik, helyszíni identitáskezelő (IDM) rendszereken keresztül történik, és a Microsoft Entra Csatlakozás keresztül szinkronizálódik a Microsoft Entra ID-ra.
• Az alkalmazások hitelesítése az Active Directoryban és az összevonási kiszolgálókon, például Active Directory összevonási szolgáltatások (AD FS) (AD FS) egy webes hozzáférés-kezelési (WAM) eszközzel, a Microsoft 365-ben vagy más eszközökkel, például a SiteMinderrel és az Oracle Access Managerrel történik.

2. állapot: Hibrid

Hibrid állapotban a szervezetek a felhőalapú képességek révén kezdik fejleszteni helyszíni környezetüket. A megoldások megtervezhetők az összetettség csökkentése, a biztonsági helyzet növelése és a helyszíni környezet lábnyomának csökkentése érdekében.

Az átállás során és az ebben az állapotban való működés során a szervezetek fejlesztik a Microsoft Entra ID IAM-megoldásokhoz való használatához szükséges készségeket és szakértelmet. Mivel a felhasználói fiókok és az eszközmellékletek viszonylag egyszerűek, és a mindennapi informatikai műveletek gyakori részét képezik, a legtöbb szervezet ezt a módszert használta.

Ebben az állapotban:

• A Windows-ügyfelek a Microsoft Entra hibrid csatlakozói.

• A szolgáltatásként nyújtott szoftveren (SaaS) alapuló nem Microsoft-platformok integrálva lesznek a Microsoft Entra ID-val. Ilyen például a Salesforce és a ServiceNow.

• Az örökölt alkalmazások biztonságos hibrid hozzáférést biztosító alkalmazásproxy vagy partnermegoldásokkal hitelesítik a Microsoft Entra-azonosítót.

• Az önkiszolgáló jelszó-visszaállítás (SSPR) és a felhasználók jelszavas védelme engedélyezve van.

• Néhány régi alkalmazás hitelesítése a felhőben a Microsoft Entra Domain Services és alkalmazásproxy keresztül történik.

3. állapot: Először a felhő

A felhőbeli első állapotban a szervezet csapatai sikerességi rekordot építenek ki, és elkezdenek tervezni a nagyobb kihívást jelentő számítási feladatok Microsoft Entra-azonosítóra való áthelyezését. A szervezetek általában ebben az átalakulási állapotban töltik a legtöbb időt. Az összetettség, a számítási feladatok száma és az Active Directory használata egyre nő, ezért a szervezetnek növelnie kell erőfeszítéseit és a felhőbe való áttéréshez szükséges kezdeményezések számát.

Ebben az állapotban:

• Az új Windows-ügyfelek csatlakoznak a Microsoft Entra-azonosítóhoz, és az Intune-on keresztül kezelhetők.
• Az ECMA-összekötők a helyszíni alkalmazások felhasználóinak és csoportjainak kiépítésére szolgálnak.
• A korábban AD DS-vel integrált összevont identitásszolgáltatót, például az AD FS-t használó összes alkalmazás frissül, hogy a Microsoft Entra ID-t használja a hitelesítéshez. Ha a Microsoft Entra ID identitásszolgáltatóján keresztül használt jelszóalapú hitelesítést, az át lesz telepítve a jelszókivonat-szinkronizálásra.
• Fejlesztés alatt áll a fájl- és nyomtatási szolgáltatások Microsoft Entra-azonosítóra való áthelyezése.
• A Microsoft Entra ID üzleti (B2B) együttműködési képességet biztosít.
• Az új csoportok a Microsoft Entra-azonosítóban jönnek létre és kezelhetők.

4. állapot: Az Active Directory kis méretű

A Microsoft Entra ID a legtöbb IAM-képességet biztosítja, míg a peremhálózati esetek és kivételek továbbra is helyi Active Directory. Az Active Directory minimalizálásának állapota nehezebben érhető el, különösen a nagyobb szervezetek számára, amelyek jelentős helyszíni műszaki adósságokkal rendelkeznek.

A Microsoft Entra ID folyamatosan fejlődik, ahogy a szervezet átalakulása kiforrott, és új funkciókat és eszközöket hoz létre, amelyeket használhat. A szervezeteknek le kell bontaniuk a képességeket, vagy új képességeket kell létrehozniuk a csere biztosításához.

Ebben az állapotban:

• A HR-kiépítési funkcióval kiépített új felhasználók közvetlenül a Microsoft Entra-azonosítóban jönnek létre.

• Folyamatban van egy terv az Active Directorytól függő és a jövőbeni Microsoft Entra-környezet víziójának részét képező alkalmazások áthelyezésére. A nem áthelyezni kívánt szolgáltatások (fájl-, nyomtatási vagy faxszolgáltatások) lecserélésére vonatkozó terv érvényben van.

• A helyszíni számítási feladatokat olyan felhőbeli alternatívákkal helyettesítették, mint a Windows Virtual Desktop, az Azure Files vagy az Universal Print. A felügyelt Azure SQL-példány lecseréli az SQL Servert.

5. állapot: 100%-os felhő

A 100%-os felhőállapotban a Microsoft Entra ID és más Azure-eszközök biztosítják az összes IAM-képességet. Ez az állapot sok szervezet hosszú távú törekvése.

Ebben az állapotban:

• Nincs szükség helyszíni IAM-lábnyomra.

• Minden eszköz a Microsoft Entra ID-ban és felhőmegoldásokban, például az Intune-ban van kezelve.

• A felhasználói identitás életciklusát a Microsoft Entra-azonosító kezeli.

• Minden felhasználó és csoport natív felhőbeli.

• Az Active Directoryra támaszkodó hálózati szolgáltatások át lesznek helyezve.

Átalakítási analógia

Az állapotok közötti átalakítás hasonló a mozgó helyekhez:

1. Új hely létrehozása: Megvásárolja a célhelyet, és kapcsolatot létesít az aktuális hely és az új hely között. Ezek a tevékenységek lehetővé teszik a termelékenység és a működési képesség fenntartását. További információ: Microsoft Entra-lábnyom létrehozása. Az eredmények a 2. állapotra váltanak.

2. Új elemek korlátozása a régi helyen: A régi helyre való befektetés leállítása, és egy szabályzat beállítása az új elemek új helyen való szakaszának beállításához. További információ: Implement a cloud-first megközelítés. Ezek a tevékenységek nagy léptékben migrálják az alapokat, és elérik a 3. állapotot.

3. Meglévő elemek áthelyezése az új helyre: Áthelyezheti az elemeket a régi helyről az új helyre. Felmérheti az elemek üzleti értékét, így megállapíthatja, hogy áthelyezi-e őket, frissítheti őket, lecserélheti vagy elavultnak tekintheti-e őket. További információ: Áttérés a felhőre.

   Ezek a tevékenységek lehetővé teszik a 3. állapot befejezését és a 4. és az 5. állapot elérését. Az üzleti célok alapján ön dönti el, hogy melyik végső állapotot szeretné megcélzni.

A felhőbe való átalakítás nem csak az identitáscsoport feladata. A szervezetnek koordinációra van szüksége a csapatok között, hogy olyan szabályzatokat határozzon meg, amelyek magukban foglalják a személyeket és a folyamatmódosítást, valamint a technológiát. Az összehangolt megközelítéssel biztosítható a folyamatos haladás, és csökkenthető a helyszíni megoldásokra való regresszió kockázata. Vonja be azokat a csapatokat, amelyek a következőket kezelik:

• Eszközök/végpontok
• Hálózatok
• Biztonság/kockázat
• Alkalmazástulajdonosok
• Emberi erőforrások
• Collaboration
• Beszerzés
• Operations

Magas szintű út

Ahogy a szervezetek megkezdik az IAM Microsoft Entra-azonosítóra való migrálását, meg kell határozniuk az erőfeszítések rangsorolását a saját igényeik alapján. Az operatív személyzetet és a támogatási személyzetet be kell tanítani arra, hogy az új környezetben végezze a feladatait. Az alábbi diagram az Active Directoryból a Microsoft Entra ID-be való migrálás magas szintű útját mutatja be:

• A Microsoft Entra-lábnyom létrehozása: Inicializálja az új Microsoft Entra-bérlőt, hogy támogassa a végfelhasználói üzembe helyezés vízióját. Alkalmazzon egy Teljes felügyelet megközelítést és egy biztonsági modellt, amely segít megvédeni a bérlőt a helyszíni biztonsági résektől az utazás korai szakaszában.

• Első felhőbeli megközelítés implementálása: Hozzon létre egy szabályzatot, amely szerint az összes új eszköznek, alkalmazásnak és szolgáltatásnak először felhőalapúnak kell lennie. Az örökölt protokollokat (például NTLM, Kerberos vagy LDAP) használó új alkalmazások és szolgáltatások csak kivétellel lehetnek.

• Váltás a felhőbe: A felhasználók, alkalmazások és eszközök felügyeletének és integrációjának áthelyezése a helyszíni és a felhőbeli alternatívákra. A felhasználók kiépítésének optimalizálása a Microsoft Entra ID-val integrálható felhőbeli üzembe helyezési képességek kihasználásával.

Az átalakítás megváltoztatja, hogy a felhasználók hogyan hajtják végre a feladatokat, és hogyan biztosítják a támogatási csapatok a felhasználói támogatást. A szervezetnek olyan kezdeményezéseket vagy projekteket kell megterveznie és megvalósítania, amelyek minimalizálják a felhasználók termelékenységére gyakorolt hatást.

Az átalakítás részeként a szervezet önkiszolgáló IAM-képességeket vezet be. A munkaerő egyes részei könnyebben alkalmazkodnak a felhőalapú vállalkozásokban elterjedt önkiszolgáló felhasználói környezethez.

Előfordulhat, hogy az elöregedő alkalmazásokat frissíteni vagy cserélni kell, hogy jól működjenek a felhőalapú informatikai környezetekben. Az alkalmazásfrissítések vagy -cserék költségesek és időigényesek lehetnek. A tervezésnek és az egyéb szakaszoknak figyelembe kell venniük a szervezet alkalmazásainak életkorát és képességeit is.

További lépések

• Bevezetés
• Microsoft Entra-lábnyom létrehozása
• Első felhőbeli megközelítés implementálása
• Váltás a felhőre