Menerapkan pendekatan cloud-first
Hal ini utamanya adalah proses dan fase yang didorong kebijakan untuk berhenti, atau membatasi sebanyak mungkin, menambahkan dependensi baru ke Active Directory dan menerapkan pendekatan cloud-first untuk permintaan baru solusi IT.
Pada saat ini penting untuk mengidentifikasi proses internal yang akan menyebabkan penambahan dependensi baru di Active Directory. Misalnya, sebagian besar organisasi akan memiliki proses manajemen perubahan yang harus diikuti sebelum penerapan skenario, fitur, dan solusi baru. Kami sangat menyarankan untuk memastikan bahwa proses persetujuan perubahan tersebut diperbarui untuk:
- Menyertakan langkah untuk mengevaluasi apakah perubahan yang diajukan akan menambahkan dependensi baru di Active Directory.
- Minta evaluasi alternatif Microsoft Entra jika memungkinkan.
Pengguna dan grup
Anda dapat memperkaya atribut pengguna di MICROSOFT Entra ID untuk membuat lebih banyak atribut pengguna tersedia untuk dimasukkan. Contoh skenario umum yang memerlukan atribut pengguna yang kaya meliputi:
Provisi aplikasi: Sumber data provisi aplikasi adalah ID Microsoft Entra, dan atribut pengguna yang diperlukan harus ada di sana.
Otorisasi aplikasi: Token yang masalah ID Microsoft Entra dapat mencakup klaim yang dihasilkan dari atribut pengguna sehingga aplikasi dapat membuat keputusan otorisasi berdasarkan klaim dalam token. Ini juga dapat berisi atribut yang berasal dari sumber data eksternal melalui penyedia klaim kustom.
Populasi dan pemeliharaan keanggotaan grup: Grup keanggotaan dinamis memungkinkan populasi grup dinamis berdasarkan atribut pengguna, seperti informasi departemen.
Kedua tautan ini memberikan panduan terkait membuat perubahan skema:
Tautan ini memberikan informasi lebih lanjut tentang topik ini tetapi tidak spesifik untuk mengubah skema:
Menggunakan atribut ekstensi skema Microsoft Entra dalam klaim - platform identitas Microsoft
Apa itu atribut keamanan kustom di ID Microsoft Entra (pratinjau)?
Menyesuaikan pemetaan atribut Microsoft Entra dalam provisi aplikasi
Berikan klaim opsional ke aplikasi Microsoft Entra - platform identitas Microsoft
Link ini menyediakan informasi selengkapnya tentang grup:
Membuat atau mengedit grup dinamis dan mendapatkan status di ID Microsoft Entra
Menggunakan grup layanan mandiri untuk manajemen grup yang dimulai pengguna
Provisi aplikasi berbasis atribut dengan filter cakupan atau Apa itu pengelolaan pemberian hak Microsoft Entra? (untuk akses aplikasi)
Anda dan tim Anda mungkin merasa terpaksa mengubah provisi karyawan Anda saat ini untuk menggunakan akun khusus cloud pada tahap ini. Upaya tersebut bersifat nontrivial tetapi tidak memberikan nilai bisnis yang cukup. Sebaiknya Anda merencanakan transisi ini pada fase transformasi yang berbeda.
Perangkat
Stasiun kerja klien secara tradisional bergabung ke Direktori Aktif dan dikelola melalui objek Kebijakan Grup (GPO) atau solusi manajemen perangkat seperti Microsoft Configuration Manager. Tim Anda akan menetapkan kebijakan dan proses baru untuk mencegah stasiun kerja baru yang disebarkan bergabung dengan domain. Poin-poin penting meliputi:
Mandat gabungan Microsoft Entra untuk stasiun kerja klien Windows baru untuk mencapai "tidak ada lagi gabungan domain."
Mengelola stasiun kerja dari cloud menggunakan solusi manajemen titik akhir terpadu (UEM) seperti Intune.
Windows Autopilot dapat membantu Anda membuat provisi perangkat dan onboarding yang disederhanakan, yang dapat menerapkan arahan tersebut.
Windows Local Administrator Password Solution (LAPS) memungkinkan solusi cloud-first untuk mengelola kata sandi akun administrator lokal.
Untuk informasi selengkapnya, lihat Pelajari lebih lanjut tentang titik akhir native cloud.
Aplikasi
Secara tradisional, server aplikasi sering bergabung ke domain Active Directory lokal sehingga mereka dapat menggunakan Autentikasi Terintegrasi Windows (Kerberos atau NTLM), kueri direktori melalui LDAP, dan manajemen server melalui GPO atau Microsoft Configuration Manager.
Organisasi memiliki proses untuk mengevaluasi alternatif Microsoft Entra saat mempertimbangkan layanan, aplikasi, atau infrastruktur baru. Arahan untuk pendekatan cloud-first bagi aplikasi harus sebagai berikut. (Aplikasi lokal baru atau aplikasi lama harus menjadi pengecualian langka jika tidak ada alternatif modern yang ada.)
Berikan rekomendasi untuk mengubah kebijakan pengadaan dan kebijakan pengembangan aplikasi untuk mewajibkan protokol modern (OIDC/OAuth2 dan SAML) dan mengautentikasi dengan menggunakan ID Microsoft Entra. Aplikasi baru juga harus mendukung provisi aplikasi Microsoft Entra dan tidak memiliki dependensi pada kueri LDAP. Pengecualian memerlukan tinjauan dan persetujuan eksplisit.
Penting
Bergantung pada tuntutan aplikasi yang diantisipasi yang memerlukan protokol warisan, Anda dapat memilih untuk menyebarkan Microsoft Entra Domain Services ketika alternatif yang lebih baru tidak akan berfungsi.
Berikan rekomendasi untuk membuat kebijakan guna memprioritaskan penggunaan alternatif native cloud. Kebijakan harus membatasi penyebaran server aplikasi baru ke domain. Skenario native cloud umum untuk menggantikan server yang bergabung dengan Active Directory meliputi:
Server file:
SharePoint atau OneDrive memberikan dukungan kolaborasi di seluruh solusi Microsoft 365 dan pemerintahan, risiko, keamanan, dan kepatuhan bawaan.
Azure Files menawarkan berbagi file yang dikelola sepenuhnya di cloud yang dapat diakses melalui protokol NFS atau SMB standar industri. Pelanggan dapat menggunakan autentikasi Microsoft Entra asli ke Azure Files melalui internet tanpa pandangan ke pengendali domain.
MICROSOFT Entra ID berfungsi dengan aplikasi pihak ketiga di galeri aplikasi Microsoft.
Server cetak:
Jika organisasi Anda memiliki mandat untuk mendapatkan printer yang kompatibel dengan Universal Print, lihat Integrasi mitra.
Hubungkan dengan konektor Universal Print untuk printer yang tidak kompatibel.