Transisi ke cloud
Setelah menyelaraskan organisasi Anda dengan menghentikan pertumbuhan jejak Direktori Aktif, Anda dapat fokus untuk memindahkan beban kerja lokal yang ada ke ID Microsoft Entra. Artikel ini menjelaskan berbagai alur kerja migrasi. Anda dapat menjalankan alur kerja dalam artikel ini berdasarkan prioritas dan sumber daya.
Aliran kerja migrasi umum memiliki tahapan berikut:
Temukan: Cari tahu hal-hal yang saat ini Anda miliki di lingkungan.
Kelola: Sebarkan kemampuan cloud baru ke sebagian kecil pengguna, aplikasi, atau perangkat, tergantung alur kerja.
Luaskan skala: Perluas pilot untuk menyelesaikan transisi kemampuan ke cloud.
Lakukan cut over (jika berlaku): berhenti menggunakan beban kerja lokal lama.
Pengguna dan grup
Mengaktifkan layanan mandiri kata sandi
Kami merekomendasikan lingkungan tanpa kata sandi. Hingga saat itu, Anda dapat memigrasikan alur kerja layanan mandiri kata sandi dari sistem lokal ke ID Microsoft Entra untuk menyederhanakan lingkungan Anda. Pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra ID memberi pengguna kemampuan untuk mengubah atau mengatur ulang kata sandi mereka, tanpa keterlibatan administrator atau staf dukungan.
Untuk mengaktifkan kemampuan layanan mandiri, pilih metode autentikasi yang sesuai untuk organisasi Anda. Setelah metode autentikasi diperbarui, Anda dapat mengaktifkan kemampuan kata sandi layanan mandiri pengguna untuk lingkungan autentikasi Microsoft Entra Anda. Untuk panduan penyebaran, lihat Pertimbangan penyebaran untuk pengaturan ulang kata sandi mandiri Microsoft Entra.
Pertimbangan tambahan mencakup:
- Sebarkan Perlindungan Kata Sandi Microsoft Entra dalam subset pengendali domain dengan mode Audit untuk mengumpulkan informasi tentang dampak kebijakan modern.
- Aktifkan pendaftaran gabungan secara bertahap untuk autentikasi multifaktor SSPR dan Microsoft Entra. Misalnya, luncurkan berdasarkan kawasan, anak perusahaan, atau departemen untuk semua pengguna.
- Melalui siklus perubahan kata sandi bagi semua pengguna untuk menghapus kata sandi yang lemah. Setelah siklus selesai, terapkan waktu kedaluwarsa kebijakan.
- Ganti konfigurasi Perlindungan Kata Sandi di pengontrol domain yang modenya diatur ke Diterapkan. Untuk informasi selengkapnya, lihat Mengaktifkan Perlindungan Kata Sandi Microsoft Entra lokal.
Catatan
- Kami merekomendasikan komunikasi pengguna dan konversi untuk penyebaran yang lancar. Lihat Sampel materi peluncuran SSPR.
- Jika Anda menggunakan Microsoft Entra ID Protection, aktifkan pengaturan ulang kata sandi sebagai kontrol dalam kebijakan Akses Bersyar untuk pengguna yang ditandai sebagai berisiko.
Memindahkan pengelolaan grup
Untuk mengubah grup dan daftar distribusi:
Untuk grup keamanan, gunakan logika bisnis yang sudah ada yang menetapkan pengguna ke grup keamanan. Migrasikan logika dan kemampuan ke ID Microsoft Entra dan grup keanggotaan dinamis.
Untuk kemampuan kelompok yang dikelola sendiri yang disediakan oleh Microsoft Identity Manager, ganti kemampuan dengan pengelolaan grup layanan mandiri.
Anda dapat mengubah daftar distribusi ke grup Microsoft 365 di Outlook. Pendekatan ini adalah cara yang bagus untuk memberi daftar distribusi organisasi Anda semua fitur dan fungsionalitas grup Microsoft 365.
Tingkatkan daftar distribusi Anda ke grup Microsoft 365 di Outlook dan nonaktifkan server Exchange lokal Anda.
Memindahkan provisi pengguna dan grup ke aplikasi
Anda dapat menyederhanakan lingkungan dengan memindahkan alur provisi aplikasi dari sistem pengelolaan identitas (IDM) lokal seperti Microsoft Identity Manager. Berdasarkan penemuan aplikasi Anda, kategorikan aplikasi berdasarkan karakteristik berikut:
Aplikasi di lingkungan Anda yang memiliki integrasi provisi dengan galeri aplikasi Microsoft Entra.
Aplikasi yang tidak ada dalam galeri, tetapi mendukung protokol SCIM 2.0. Aplikasi ini kompatibel secara asli dengan layanan provisi cloud Microsoft Entra.
Aplikasi lokal yang menyediakan konektor ECMA. Aplikasi ini dapat diintegrasikan dengan provisi aplikasi lokal Microsoft Entra.
Untuk informasi selengkapnya, periksa Merencanakan penyebaran provisi pengguna otomatis untuk ID Microsoft Entra.
Memindahkan ke provisi cloud HR
Anda dapat mengurangi jejak lokal dengan memindahkan alur kerja provisi SDM dari sistem IDM lokal, seperti Microsoft Identity Manager, ke ID Microsoft Entra. Dua jenis akun tersedia untuk provisi SDM cloud Microsoft Entra:
Untuk karyawan baru yang secara eksklusif menggunakan aplikasi yang menggunakan ID Microsoft Entra, Anda dapat memilih untuk memprovisikan akun khusus cloud. Provisi ini membantu Anda memuat jejak Active Directory.
Untuk karyawan baru yang memerlukan akses ke aplikasi yang memiliki dependensi pada Active Directory, Anda dapat memprovisikan akun hibrida.
Provisi SDM cloud Microsoft Entra juga dapat mengelola akun Direktori Aktif untuk karyawan yang ada. Untuk informasi selengkapnya, lihat Merencanakan aplikasi HR cloud ke provisi pengguna Microsoft Entra dan Merencanakan proyek penyebaran.
Memindahkan alur kerja siklus hidup
Evaluasi alur kerja dan proses joiner/mover/leaver yang ada untuk penerapan dan relevansi dengan lingkungan cloud Microsoft Entra Anda. Anda kemudian dapat menyederhanakan alur kerja ini dan membuat alur kerja baru menggunakan alur kerja siklus hidup.
Memindahkan manajemen identitas eksternal
Jika organisasi Anda menyediakan akun di Active Directory atau direktori lokal lainnya untuk identitas eksternal seperti vendor, kontraktor, konsultan, Anda dapat menyederhanakan lingkungan dengan mengelola objek pengguna pihak ketiga tersebut secara native di cloud. Berikut beberapa kemungkinannya:
Untuk pengguna eksternal baru, gunakan MICROSOFT Entra External ID, yang menghentikan jejak pengguna Direktori Aktif.
Untuk akun Active Directory yang Anda sediakan untuk identitas eksternal, Anda dapat menghapus biaya operasional terkait pengelolaan kredensial lokal (misalnya, kata sandi) dengan mengonfigurasikan kredensial tersebut untuk kolaborasi bisnis-ke-bisnis(B2B). Ikuti langkah-langkah dalam Mengundang pengguna internal ke kolaborasi B2B.
Gunakan pengelolaan pemberian hak Microsoft Entra untuk memberikan akses ke aplikasi dan sumber daya. Sebagian besar perusahaan memiliki sistem dan alur kerja khusus untuk tujuan ini. Kini, Anda dapat memindahkan alat lokal.
Gunakan tinjauan akses untuk menghapus hak akses dan/atau identitas eksternal yang tidak lagi diperlukan.
Perangkat
Memindahkan stasiun kerja non-Windows
Anda dapat mengintegrasikan stasiun kerja non-Windows dengan ID Microsoft Entra untuk meningkatkan pengalaman pengguna dan untuk mendapatkan manfaat dari fitur keamanan berbasis cloud seperti Akses Bersyarah.
Untuk macOS:
Daftarkan macOS ke ID Microsoft Entra dan daftarkan/kelola dengan menggunakan solusi manajemen perangkat seluler.
Sebarkan plug-in SSO Microsoft Enterprise (akses menyeluruh) untuk perangkat Apple.
Rencanakan untuk menyebarkan Platform SSO untuk macOS 13.
Untuk Linux, Anda dapat masuk ke komputer virtual Linux (VM) dengan menggunakan kredensial Microsoft Entra.
Mengganti versi Windows lainnya untuk stasiun kerja
Jika Anda memiliki sistem operasi berikut di stasiun kerja, pertimbangkan untuk meningkatkan ke versi terbaru untuk mendapatkan manfaat dari manajemen cloud-native (gabungan Microsoft Entra dan manajemen titik akhir terpadu):
Windows 7 atau 8.x
Windows Server
Solusi VDI
Proyek ini memiliki dua inisiatif utama:
Penyebaran baru: Sebarkan solusi infrastruktur desktop virtual (VDI) yang dikelola cloud, seperti Windows 365 atau Azure Virtual Desktop, yang tidak memerlukan Active Directory lokal.
Penyebaran yang ada: Jika penyebaran VDI yang ada bergantung pada Direktori Aktif, gunakan tujuan dan tujuan bisnis untuk menentukan apakah Anda mempertahankan solusi atau memigrasikannya ke ID Microsoft Entra.
Untuk informasi selengkapnya, lihat:
Aplikasi
Untuk membantu menjaga lingkungan yang aman, MICROSOFT Entra ID mendukung protokol autentikasi modern. Untuk transisi autentikasi aplikasi dari Direktori Aktif ke ID Microsoft Entra, Anda harus:
Tentukan aplikasi mana yang dapat bermigrasi ke MICROSOFT Entra ID tanpa modifikasi.
Menentukan aplikasi mana yang memiliki jalur peningkatan yang memungkinkan Anda bermigrasi dengan peningkatan.
Menentukan aplikasi mana yang memerlukan penggantian atau perubahan kode signifikan untuk dimigrasikan.
Hasil dari inisiatif penemuan aplikasi Anda adalah membuat daftar yang diprioritaskan untuk memigrasikan portofolio aplikasi Anda. Daftar ini berisi aplikasi yang:
Memerlukan peningkatan atau pembaruan terhadap perangkat lunak, serta tersedia jalur peningkatan.
Memerlukan peningkatan atau pembaruan terhadap perangkat lunak, serta tidak tersedia jalur peningkatan.
Dengan menggunakan daftar, Anda dapat mengevaluasi lebih lanjut aplikasi yang tidak memiliki jalur peningkatan yang sudah ada. Tentukan apakah nilai bisnis menjamin pembaruan perangkat lunak atau apakah harus dihentikan. Jika perangkat lunak harus dihentikan, putuskan apakah Anda memerlukan pengganti.
Berdasarkan hasilnya, Anda mungkin mendesain ulang aspek transformasi Anda dari Direktori Aktif ke ID Microsoft Entra. Ada pendekatan yang dapat Anda gunakan untuk memperluas Active Directory lokal ke infrastruktur sebagai layanan (IaaS) (hosting ulang) untuk aplikasi dengan protokol autentikasi yang tidak didukung. Sebaiknya Anda menetapkan kebijakan yang memerlukan pengecualian untuk menggunakan pendekatan ini.
Penemuan aplikasi
Setelah membuat segmentasi portofolio aplikasi, Anda dapat memprioritaskan migrasi berdasarkan nilai bisnis dan prioritas bisnis. Anda dapat menggunakan alat untuk membuat atau me-refresh inventaris aplikasi.
Terdapat tiga cara utama untuk mengategorikan aplikasi Anda:
Aplikasi autentikasi modern: Aplikasi ini menggunakan protokol autentikasi modern (seperti OIDC, OAuth2, SAML, atau WS-Federation) atau yang menggunakan layanan federasi seperti Active Directory Federation Services (AD FS).
Alat Web access management (WAM): Aplikasi ini menggunakan header, cookie, dan teknik yang mirip untuk SSO. Aplikasi ini biasanya memerlukan penyedia identitas WAM, seperti Symantec SiteMinder.
Aplikasi lama: Aplikasi ini menggunakan protokol lama seperti Kerberos, LDAP, Radius, Desktop Jauh, NTLM (tidak direkomendasikan).
ID Microsoft Entra dapat digunakan dengan setiap jenis aplikasi untuk menyediakan tingkat fungsionalitas yang menghasilkan strategi migrasi, kompleksitas, dan trade-off yang berbeda. Beberapa organisasi memiliki inventaris aplikasi yang dapat digunakan sebagai acuan dasar penemuan. (Umumnya, inventaris ini tidak selesai atau diperbarui.)
Untuk menemukan aplikasi autentikasi modern:
Jika Anda menggunakan AD FS, gunakan laporan aktivitas aplikasi AD FS.
Jika Anda menggunakan penyedia identitas yang berbeda, gunakan log dan konfigurasi.
Alat-alat berikut dapat membantu Anda menemukan aplikasi yang menggunakan LDAP:
Event1644Reader: Alat sampel untuk mengumpulkan data pada kueri LDAP yang dibuat untuk pengendali domain menggunakan log rekayasa bidang.
Pertahanan Microsoft 365 untuk Identity: Solusi keamanan yang menggunakan kemampuan pemantauan operasi masuk. (Perhatikan bahwa ia menangkap ikatan dengan LDAP, bukan Secure LDAP.)
PSLDAPQueryLogging: Alat GitHub untuk melaporkan kueri LDAP.
Migrasikan AD FS atau layanan federasi lainnya
Saat Anda merencanakan migrasi ke ID Microsoft Entra, pertimbangkan untuk memigrasikan aplikasi yang menggunakan protokol autentikasi modern (seperti SAML dan OpenID Connect) terlebih dahulu. Anda dapat mengonfigurasi ulang aplikasi ini untuk mengautentikasi dengan ID Microsoft Entra baik melalui konektor bawaan dari Azure App Gallery atau melalui pendaftaran di ID Microsoft Entra.
Setelah Anda memindahkan aplikasi SaaS yang digabungkan ke ID Microsoft Entra, ada beberapa langkah untuk menonaktifkan sistem federasi lokal:
Memindahkan akses jarak jauh ke aplikasi internal, jika Anda menggunakan proksi aplikasi Microsoft Entra
Penting
Jika Anda menggunakan fitur lainnya, verifikasikan bahwa layanan tersebut dipindahkan sebelum Anda menonaktifkan Active Directory Federation Services.
Memindahkan aplikasi Autentikasi WAM
Proyek ini berfokus pada migrasi kemampuan SSO dari sistem WAM ke MICROSOFT Entra ID. Untuk mempelajari selengkapnya, lihat Memigrasikan aplikasi dari Symantec SiteMinder ke ID Microsoft Entra.
Menentukan strategi pengelolaan server aplikasi
Dalam hal manajemen infrastruktur, lingkungan lokal sering menggunakan kombinasi objek Kebijakan Grup (GPO) dan fitur Microsoft Configuration Manager untuk mengelompokkan tugas manajemen. Misalnya, tugas dapat dibagi menjadi manajemen kebijakan keamanan, manajemen pembaruan, manajemen konfigurasi, dan pemantauan.
Direktori Aktif adalah untuk lingkungan TI lokal, dan ID Microsoft Entra adalah untuk lingkungan IT berbasis cloud. Paritas fitur satu-ke-satu tidak ada di sini, sehingga Anda dapat mengelola server aplikasi dalam beberapa cara.
Misalnya, Azure Arc membantu menyatukan banyak fitur yang ada di Direktori Aktif ke dalam satu tampilan saat Anda menggunakan ID Microsoft Entra untuk manajemen identitas dan akses (IAM). Anda juga dapat menggunakan Microsoft Entra Domain Services untuk server gabungan domain di ID Microsoft Entra, terutama ketika Anda ingin server tersebut menggunakan GPO untuk alasan bisnis atau teknis tertentu.
Gunakan tabel berikut untuk menentukan apa saja alat berbasis Azure yang dapat digunakan untuk mengganti lingkungan lokal:
| Area manajemen | Fitur (Active Directory) lokal | Fitur Microsoft Entra yang setara |
|---|---|---|
| Manajemen kebijakan keamanan | GPO, Microsoft Configuration Manager | Microsoft 365 Defender untuk Cloud |
| Manajemen pembaruan | Microsoft Configuration Manager, Windows Server Update Services | Manajemen Pembaruan Azure Automation |
| Manajemen konfigurasi | GPO, Microsoft Configuration Manager | Konfigurasi Status Azure Automation |
| Pemantauan | Manajer Pengoperasian Pusat Sistem | Analitik Log Azure Monitor |
Berikut informasi selengkapnya yang dapat Anda gunakan untuk manajemen server aplikasi:
Azure Arc mengaktifkan fitur Azure untuk VM non-Azure. Misalnya, Anda dapat menggunakannya untuk mendapatkan fitur Azure untuk Windows Server saat digunakan secara lokal atau di Amazon Web Services, atau mengautentikasi ke komputer Linux dengan SSH.
Jika Anda harus menunggu untuk memigrasikan atau melakukan migrasi parsial, Anda dapat menggunakan GPO dengan Microsoft Entra Domain Services.
Jika Anda memerlukan manajemen server aplikasi dengan Microsoft Configuration Manager, Anda tidak dapat mencapai persyaratan ini dengan menggunakan Microsoft Entra Domain Services. Microsoft Configuration Manager tidak didukung untuk dijalankan di lingkungan Microsoft Entra Domain Services. Sebagai gantinya, Anda perlu memperluas instans Active Directory lokal Anda ke pengendali domain yang berjalan di Azure VM. Atau, Anda perlu menyebarkan instans Active Directory baru ke jaringan virtual Azure IaaS.
Menentukan strategi migrasi untuk aplikasi lama
Aplikasi lama memiliki dependensi seperti ini ke Active Directory:
Autentikasi dan otorisasi engguna: Kerberos, NTLM, LDAP Bind, ACL.
Akses ke data direktori: kueri LDAP, ekstensi skema, baca/tulis objek direktori.
Manajemen server: Sebagaimana yang ditentukan oleh strategi manajemen server.
Untuk mengurangi atau menghilangkan dependensi tersebut, terdapat tiga pendekatan utama.
Pendekatan 1
Dalam pendekatan yang paling disarankan ini, jalankan proyek untuk bermigrasi dari aplikasi lama ke alternatif SaaS yang menggunakan autentikasi modern. Minta alternatif SaaS mengautentikasi ke ID Microsoft Entra secara langsung:
Sebarkan Microsoft Entra Domain Services ke jaringan virtual Azure dan perluas skema untuk menggabungkan atribut tambahan yang diperlukan oleh aplikasi.
Angkat dan geser aplikasi warisan ke VM di jaringan virtual Azure yang bergabung dengan domain ke Microsoft Entra Domain Services.
Terbitkan aplikasi warisan ke cloud dengan menggunakan proksi aplikasi Microsoft Entra atau mitra akses hibrid yang aman.
Saat aplikasi warisan berhenti melalui attrisi, akhirnya menonaktifkan Microsoft Entra Domain Services yang berjalan di jaringan virtual Azure.
Catatan
- Gunakan Microsoft Entra Domain Services jika dependensi diselaraskan dengan skenario penyebaran umum untuk Microsoft Entra Domain Services.
- Untuk memvalidasi apakah Microsoft Entra Domain Services cocok, Anda mungkin menggunakan alat seperti VM insights Azure Monitor [https://learn.microsoft.com/azure/azure-monitor/vm/vminsights-overview].
- Validasikan bahwa instansiasi SQL Server Anda dapat dimigrasikan ke domain yang berbeda. Jika layanan SQL Anda berjalan di mesin virtual, gunakan panduan ini.
Pendekatan 2
Jika pendekatan pertama tidak dimungkinkan dan aplikasi memiliki dependensi kuat terhadap Active Directory, Anda dapat memperluas Active Directory lokal ke Azure IaaS.
Anda dapat berpindah platform untuk mendukung hosting tanpa server modern--misalnya, menggunakan platform as a service (PaaS). Atau, Anda dapat memperbarui kode untuk mendukung autentikasi modern. Anda juga dapat mengaktifkan aplikasi untuk diintegrasikan dengan MICROSOFT Entra ID secara langsung. Pelajari Microsoft Authentication Library di platform identitas Microsoft.
Sambungkan jaringan virtual Azure ke jaringan lokal melalui jaringan privat maya (VPN) atau Azure ExpressRoute.
Sebarkan pengendali domain baru untuk Active Directory lokal sebagai mesin virtual ke jaringan virtual Azure.
Hosting ulang aplikasi lama ke VM di jaringan virtual Azure yang tergabung dengan domain.
Terbitkan aplikasi warisan ke cloud dengan menggunakan proksi aplikasi Microsoft Entra atau mitra akses hibrid yang aman.
Nantinya, nonaktifkan infrastruktur Active Directory lokal dan jalankan Active Directory di jaringan virtual Azure sepenuhnya.
Saat aplikasi lama dihentikan melalui atrisi, nonaktifkan instans Active Directory yang berjalan di jaringan virtual Azure.
Pendekatan 3
Jika migrasi pertama tidak dimungkinkan dan aplikasi memiliki dependensi yang kuat terhadap Active Directory, Anda dapat menyebarkan instans Active Directory baru ke Azure IaaS. Biarkan aplikasi tersebut sebagai aplikasi lama untuk masa depan yang dapat diperkirakan, atau nonaktifkan aplikasi tersebut jika peluang itu muncul.
Pendekatan ini memungkinkan Anda memisahkan aplikasi dari instans Active Directory yang sudah ada untuk mengurangi area permukaan. Sebaiknya Anda menganggapnya hanya sebagai upaya terakhir.
Sebarkan instans Active Directory baru sebagai mesin virtual dalam jaringan virtual Azure.
Hosting ulang aplikasi lama ke VM di jaringan virtual Azure yang tergabung dengan domain ke instans Active Directory baru.
Terbitkan aplikasi warisan ke cloud dengan menggunakan proksi aplikasi Microsoft Entra atau mitra akses hibrid yang aman.
Saat aplikasi lama dihentikan melalui atrisi, nonaktifkan instans Active Directory yang berjalan di jaringan virtual Azure.
Perbandingan strategi
| Strategi | Microsoft Entra Domain Services | Memperluas Active Directory ke IaaS | Instans Active Directory Independen di IaaS |
|---|---|---|---|
| Memisahkan dari Active Directory lokal | Ya | No | Ya |
| Mengizinkan ekstensi skema | No | Ya | Ya |
| Kontrol administratif penuh | No | Ya | Ya |
| Konfigurasi ulang aplikasi potensial yang diperlukan (misalnya, ACL atau otorisasi) | Ya | No | Ya |
Memindahkan autentikasi VPN
Proyek ini berfokus pada pemindahan autentikasi VPN Anda ke ID Microsoft Entra. Penting untuk mengetahui bahwa ada berbagai konfigurasi untuk koneksi gateway VPN. Anda harus menentukan konfigurasi yang paling sesuai dengan kebutuhan Anda. Untuk informasi selengkapnya tentang cara merancang solusi, lihat desain gateway VPN.
Berikut adalah poin-poin penting tentang penggunaan ID Microsoft Entra untuk autentikasi VPN:
Periksa apakah penyedia VPN Anda mendukung autentikasi modern. Contohnya:
Untuk perangkat Windows 10, pertimbangkan untuk mengintegrasikan dukungan Microsoft Entra ke klien VPN bawaan.
Setelah mengevaluasi skenario ini, Anda dapat menerapkan solusi untuk menghapus dependensi dengan lokal untuk melakukan autentikasi ke VPN.
Memindahkan akses jarak jauh ke aplikasi internal
Untuk menyederhanakan lingkungan, Anda dapat menggunakan proksi aplikasi Microsoft Entra atau mitra akses hibrid aman untuk menyediakan akses jarak jauh. Ini memungkinkan Anda menghapus dependensi pada solusi proksi terbalik lokal.
Penting untuk disebutkan bahwa mengaktifkan akses jarak jauh ke aplikasi menggunakan teknologi sebelumnya adalah langkah sementara. Anda perlu melakukan lebih banyak pekerjaan untuk sepenuhnya memisahkan aplikasi dari Direktori Aktif.
Microsoft Entra Domain Services memungkinkan Anda memigrasikan server aplikasi ke iaaS cloud dan memisahkan dari Direktori Aktif, sambil menggunakan proksi aplikasi Microsoft Entra untuk mengaktifkan akses jarak jauh. Untuk mempelajari selengkapnya tentang skenario ini, centang Sebarkan proksi aplikasi Microsoft Entra untuk Microsoft Entra Domain Services.