Aktueller Stand der Cloudtransformation

  • Artikel

Active Directory, Microsoft Entra ID und weitere Microsoft-Tools bilden den Kern der Identitäts- und Zugriffsverwaltung (IAM). So stellen zum Beispiel Active Directory-Domäne Services (AD DS) und Microsoft Configuration Manager (MCM) die Geräteverwaltung in Active Directory zur Verfügung. In Microsoft Entra ID bietet Intune dieselbe Funktion.

Im Rahmen der meisten Modernisierungs-, Migrations- oder Zero-Trust-Initiativen stellen Organisationen die IAM-Aktivitäten von der Nutzung lokaler oder IaaS-Lösungen (Infrastruktur-as-a-Service) auf für die Cloud konzipierte Lösungen um. Bei einer IT-Umgebung, die Microsoft-Produkte und -Dienste nutzt, spielen Active Directory und Microsoft Entra ID eine Rolle.

Viele Unternehmen, die eine Migration von Active Directory zu Microsoft Entra ID vornehmen, beginnen mit einer Umgebung, die dem folgenden Diagramm ähnelt. Das Diagramm ruht auf drei Säulen:

  • Anwendungen: Diese Säule enthält Anwendungen, Ressourcen und die zugrunde liegenden, in die Domäne eingebundenen Server.

  • Geräte: Diese Säule konzentriert sich auf in die Domäne eingebundene Clientgeräte.

  • Benutzer und Gruppen: Stellt Identitäten und Attribute von Personen und Workloads für den Ressourcenzugriff und die Gruppenmitgliedschaft für die Governance und Richtlinienerstellung dar.

Architectural diagram that depicts the common technologies contained in the pillars of applications, devices, and users.

Microsoft hat fünf Transformationszustände modelliert, die im Allgemeinen den Geschäftszielen der Kunden entsprechen. Mit zunehmender Realisierung der Ziele des Kunden findet in der Regel ein Wechsel von einem Zustand zum nächsten statt. Dabei richtet sich das Tempo nach den Ressourcen des Kunden und seiner Unternehmenskultur.

Die fünf Zustände weisen Exitkriterien auf, die Ihnen bei der Bestimmung des aktuellen Zustands Ihrer Umgebung helfen. Einige Projekte, wie etwa die Anwendungsmigration, erstrecken sich über alle fünf Zustände. Andere Projekte umfassen nur einen einzelnen Zustand.

Der Inhalt bietet einen detaillierteren Leitfaden, der so strukturiert ist, dass er die beabsichtigten Änderungen an Personen, Prozessen und Technologien unterstützt. Der Leitfaden kann Sie bei folgenden Aufgaben unterstützen:

  • Einrichten eines Microsoft Entra-Footprints

  • Implementieren eines Cloud-First-Ansatzes

  • Starten der Migration aus Ihrer Active Directory-Umgebung

Der Leitfaden ist nach Benutzerverwaltung, Geräteverwaltung und Anwendungsverwaltung gemäß den oben genannten Säulen gegliedert.

Organisationen, die in Microsoft Entra statt in Active Directory gebildet werden, verfügen nicht über die lokale Legacyumgebung, mit der sich länger etablierte Organisationen auseinandersetzen müssen. Bei ihnen oder bei Kunden, die ihre IT-Umgebung in der Cloud vollständig neu erstellen, kann mit der Einrichtung der neuen IT-Umgebung das Ziel einer 100%-igen Cloudzentrierung umgesetzt werden.

Bei Kunden mit etablierten lokalen IT-Funktionen ist der Transformationsprozess komplexer und erfordert eine sorgfältige Planung. Außerdem weisen Active Directory und Microsoft Entra ID, da sie separate Produkte für verschiedene IT-Umgebungen sind, keine identischen Features auf. Beispielsweise gibt es in Microsoft Entra ID das Konzept von Vertrauensstellungen zwischen Active Directory-Domänen und -Gesamtstrukturen nicht.

Fünf Transformationszustände

In Organisationen von Konzerngröße stellt die IAM-Transformation oder sogar die Umstellung von Active Directory auf Microsoft Entra ID in der Regel ein mehrjähriges Unterfangen mit mehreren Zuständen dar. Sie analysieren Ihre Umgebung, um Ihren aktuellen Zustand zu bestimmen, und legen dann ein Ziel für ihren nächsten Zustand fest. Ihr Ziel kann es sein, ganz auf Active Directory zu verzichten. Vielleicht entscheiden Sie aber auch, einige Funktionen nicht zu Microsoft Entra ID zu migrieren und sie vor Ort zu belassen.

Anhand der Zustände werden Initiativen logisch in Projekte gruppiert, mit dem Ziel, eine Transformation abzuschließen. Während der Zustandsübergänge setzen Sie auf Zwischenlösungen. Die Zwischenlösungen bieten der IT-Umgebung die Möglichkeit, IAM-Vorgänge sowohl in Active Directory als auch in Microsoft Entra ID zu unterstützen. Die Zwischenlösungen müssen außerdem das Zusammenwirken der beiden Umgebungen ermöglichen.

Das folgende Diagramm zeigt die fünf Zustände:

Diagram that shows five network architectures: cloud attached, hybrid, cloud first, Active Directory minimized, and 100% cloud.

Hinweis

Die Zustände in diesem Diagramm stellen einen logischen Fortschritt der Cloudtransformation dar. Ihre Fähigkeit, den Übergang von einem Zustand zum nächsten zu erreichen, hängt von der implementierten Funktionalität und den darin enthaltenen Funktionen ab, die in die Cloud verlagert werden sollen.

Zustand 1: Cloudanbindung

Im Zustand der Cloudanbindung haben Organisationen einen Microsoft Entra-Mandanten erstellt, um die Benutzerproduktivität zu ermöglichen und Zusammenarbeitstools zur Verfügung zu stellen. Der Mandant ist voll funktionsfähig.

Die meisten Unternehmen, die Microsoft-Produkte und -Dienste in ihrer IT-Umgebung verwenden, sind bereits in diesem Zustand oder über ihn hinaus. In diesem Zustand können die Betriebskosten höher sein, da eine lokale Umgebung und eine Cloudumgebung zu verwalten und interaktiv zu halten sind. Die Mitarbeiter müssen über Kenntnisse in beiden Umgebungen verfügen, um ihre Benutzer und die Organisation zu unterstützen.

Dies kennzeichnet diesen Zustand:

  • Die Geräte sind in Active Directory eingebunden und werden über eine Gruppenrichtlinie oder lokale Geräteverwaltungstools verwaltet.
  • Die Benutzer*innen werden in Active Directory verwaltet, über lokale Identitätsverwaltungssysteme (IDM) bereitgestellt und über Microsoft Entra Connect mit Microsoft Entra ID synchronisiert.
  • Apps werden über ein WAM-Tool (Web Access Management), Microsoft 365 oder andere Tools wie SiteMinder und Oracle Access Manager bei Active Directory und Verbundservern wie Active Directory-Verbunddienste (AD FS) authentifiziert.

Zustand 2: Hybrid

Im Zustand „Hybrid“ beginnen Organisationen, ihre lokale Umgebung durch Cloudfunktionen zu erweitern. Die Lösungen können geplant werden, um Komplexität zu reduzieren, den Sicherheitsstatus zu erhöhen und den Platzbedarf der lokalen Umgebung zu verringern.

Während des Übergangs und beim Betrieb in diesem Zustand bilden Organisationen ihre Fähigkeiten und Kompetenzen für den Einsatz von Microsoft Entra ID für IAM-Lösungen aus. Da das Anbinden von Benutzerkonten und Geräten relativ einfach und ein allgemeiner Teil des täglichen IT-Betriebs ist, haben die meisten Organisationen diesen Ansatz verwendet.

Dies kennzeichnet diesen Zustand:

  • Windows-Clients sind in Microsoft Entra hybrid eingebunden.

  • Bei Nicht-Microsoft-Plattformen, die auf Software-as-a-Service (SaaS) basieren, beginnt die Integration in Microsoft Entra ID. Beispiele sind Salesforce und ServiceNow.

  • Legacy-Apps authentifizieren sich über Anwendungsproxy oder Partnerlösungen, die sicheren Hybridzugriff bieten, bei Microsoft Entra ID.

  • Self-Service-Kennwortzurücksetzung (SSPR) und Kennwortschutz für Benutzer werden aktiviert.

  • Einige Legacy-Apps werden über Microsoft Entra DS und Anwendungsproxy in der Cloud authentifiziert.

Zustand 3: Cloud-First

Im Zustand für Cloud-First erstellen die Teams in der gesamten Organisation eine Aufzeichnung über den Erfolg und beginnen mit der Planung, anspruchsvollere Workloads zu Microsoft Entra ID zu verlagern. Organisationen verbringen in der Regel die meiste Zeit in diesem Transformationszustand. Da die Komplexität, die Anzahl der Workloads und die Verwendung von Active Directory im Laufe der Zeit zunehmen, muss eine Organisation ihren Aufwand und ihre Anzahl von Initiativen erhöhen, um in die Cloud zu wechseln.

Dies kennzeichnet diesen Zustand:

  • Neue Windows-Clients werden in Microsoft Entra ID eingebunden und mit Intune verwaltet.
  • ECMA-Connectors werden zur Bereitstellung von Benutzern und Gruppen für lokale Apps verwendet.
  • Alle Apps, die zuvor einen integrierten AD DS-Verbundidentitätsanbieter (z. B. AD FS) verwendet haben, werden aktualisiert und verwenden dann Microsoft Entra ID für die Authentifizierung. Wenn Sie über diesen Identitätsanbieter eine kennwortbasierte Authentifizierung für Microsoft Entra ID verwendet haben, erfolgt die Umstellung auf die Kennwort-Hashsynchronisierung.
  • Pläne zum Verlagern von Datei- und Druckdiensten in Microsoft Entra ID werden derzeit entwickelt.
  • Microsoft Entra ID bietet eine Business-to-Business-Zusammenarbeitsfunktion (B2B).
  • Neue Gruppen werden in Microsoft Entra ID erstellt und verwaltet.

Zustand 4: Active Directory minimiert

Microsoft Entra ID stellt die meisten IAM-Funktionen bereit, während für Grenzfälle und Ausnahmen weiterhin lokales Active Directory verwendet wird. Der Zustand „Active Directory minimiert“ ist schwieriger zu erreichen, insbesondere bei größeren Organisationen, die erhebliche technische Altlasten mitbringen.

Mit fortschreitender Transformation Ihrer Organisation entwickelt sich auch Microsoft Entra ID weiter und bietet neue Features und Tools, die Sie nutzen können. Organisationen müssen Funktionen als veraltet kennzeichnen oder neue Funktionen erstellen, um Ersatz zu schaffen.

Dies kennzeichnet diesen Zustand:

  • Neue Benutzer*innen, die über die HR-Bereitstellungsfunktion bereitgestellt werden, werden direkt in Microsoft Entra ID erstellt.

  • Ein Plan zum Verlagern von Apps, die von Active Directory abhängig sind und zur Vision für den künftigen Zustand der Microsoft Entra-Umgebung gehören, wird derzeit ausgeführt. Ein Plan für den Ersatz von Diensten, die nicht verlagert werden (Datei-, Druck-, Faxdienste), wurde etabliert.

  • Lokale Workloads wurden durch Cloudalternativen wie Windows Virtual Desktop, Azure Files oder Universal Print ersetzt. Azure SQL Managed Instance ersetzt SQL Server.

Zustand 5: 100 % Cloud

Im Zustand der 100%igen Umstellung in die Cloud stellen Microsoft Entra ID und andere Azure-Tools alle IAM-Funktionen bereit. Dieser Zustand ist das langfristige Bestreben vieler Organisationen.

Dies kennzeichnet diesen Zustand:

  • Es ist kein lokaler IAM-Speicherbedarf erforderlich.

  • Alle Geräte werden in Microsoft Entra ID und mit Cloudlösungen wie Intune verwaltet.

  • Der Lebenszyklus von Benutzeridentitäten wird über Microsoft Entra ID verwaltet.

  • Alle Benutzer und Gruppen sind cloudnativ.

  • Netzwerkdienste, die auf Active Directory basieren, werden umgesiedelt.

Transformationsanalogie

Die Transformation zwischen den Zuständen ähnelt einem Umzug:

  1. Festlegen eines neuen Standorts: Sie erwerben Ihren Zielstandort und richten eine Verbindung zwischen dem aktuellen und dem neuen Standort ein. Durch diese Aktivitäten können Sie Ihre Produktivität und Betriebsfähigkeit erhalten. Weitere Informationen finden Sie unter Einrichten eines Microsoft Entra-Footprints. Die Ergebnisse ermöglichen den Übergang in Zustand 2.

  2. Einschränken neuer Elemente am alten Standort: Sie investieren nicht mehr in den alten Standort und erlassen eine Richtlinie, neue Elemente am neuen Standort einzurichten. Weitere Informationen finden Sie unter Implementieren eines Cloud-First-Ansatzes. Diese Aktivitäten bilden die Grundlage für die Migration im großen Stil und das Erreichen von Zustand 3.

  3. Umziehen vorhandener Elemente an den neuen Standort: Sie ziehen Elemente vom alten Standort an den neuen Standort um. Sie bewerten den Geschäftswert der Elemente, um zu ermitteln, ob sie unverändert umgezogen, aktualisiert, ersetzt oder ausgemustert werden sollen. Weitere Informationen finden Sie unter Übergang zur Cloud.

    Mit diesen Aktivitäten können Sie Zustand 3 abschließen und die Zustände 4 und 5 erreichen. Sie entscheiden im Ausgang von Ihren Geschäftszielen, welchen Endzustand Sie erreichen möchten.

Der Übergang zur Cloud liegt nicht nur in der Zuständigkeit des Identitätsteams. Die Organisation benötigt eine teamübergreifende Koordination, um Richtlinien zu definieren, die neben der Technologie auch Personen und Prozessänderungen umfassen. Durch die Verwendung eines koordinierten Ansatzes können Sie einen konsistenten Fortschritt gewährleisten und das Risiko des Rückgriffs auf lokale Lösungen verringern. Beziehen Sie Teams zur Verwaltung der folgenden Punkte ein:

  • Geräte/Endpunkte
  • Netzwerke
  • Sicherheit/Risiko
  • Anwendungsbesitzer
  • Personal
  • Zusammenarbeit
  • Beschaffung
  • Operations

Allgemeiner Ablauf

Zu Beginn einer Migration von IAM zu Microsoft Entra ID müssen Organisationen anhand ihrer speziellen Anforderungen die Priorisierung der Arbeiten festlegen. Mitarbeiter aus Betrieb und Support müssen geschult werden, um ihre Aufgaben in der neuen Umgebung wahrzunehmen. Das folgende Diagramm zeigt den allgemeinen Ablauf der Migration von Active Directory zu Microsoft Entra ID:

Chart that shows three major milestones in migrating from Active Directory to Microsoft Entra ID: establish Microsoft Entra capabilities, implement a cloud-first approach, and move workloads to the cloud.

  • Einrichten eines Microsoft Entra-Footprints: Initialisieren Sie Ihren neuen Microsoft Entra-Mandanten zur Unterstützung der Vision für Ihre Endzustandsbereitstellung. Führen Sie früh im Ablauf einen Zero Trust-Ansatz und ein Sicherheitsmodell ein, das Ihren Mandanten vor lokaler Kompromittierung schützt.

  • Implementieren eines Cloud-First-Ansatzes: Legen Sie eine Richtlinie fest, die vorschreibt, dass alle neuen Geräte, Apps und Dienste dem Cloud-First-Ansatz folgen. Neue Anwendungen und Dienste, die ältere Protokolle (z. B. NTLM, Kerberos oder LDAP) verwenden, sollten nur Ausnahmen sein.

  • Übergang in die Cloud: Stellen Sie die Verwaltung und Integration von Benutzern, Apps und Geräten von der lokalen Umgebung auf Cloud-First-Alternativen um. Optimieren Sie die Benutzerbereitstellung, indem Sie Cloud-First-Bereitstellungsfunktionen nutzen, die in Microsoft Entra ID integriert sind.

Durch die Transformation ändert sich die Art und Weise, wie Benutzer ihre Aufgaben ausführen und wie Supportteams den Benutzersupport bereitstellen. Die Organisation sollte beim Entwerfen und Implementieren von Initiativen oder Projekten die Auswirkungen auf die Produktivität der Benutzer auf ein Minimum beschränken.

Im Rahmen der Transformation führt die Organisation IAM-Self-Service-Funktionen ein. Einige Teile der Belegschaft passen sich leichter an die Self-Service-Benutzerumgebung an, die in cloudbasierten Unternehmen vorherrscht.

Ältere Anwendungen müssen möglicherweise aktualisiert oder ersetzt werden, um in cloudbasierten IT-Umgebungen gut zu funktionieren. Update oder Ersatz von Anwendungen kann kostspielig und zeitaufwendig sein. Bei der Planung und in den einzelnen Phasen muss auch dem Alter und der Funktion der Anwendungen in der Organisation Rechnung getragen werden.

Nächste Schritte