Bagikan melalui

Postur transformasi cloud

  • Artikel

Direktori Aktif, ID Microsoft Entra, dan alat Microsoft lainnya berada di inti manajemen identitas dan akses (IAM). Misalnya, Active Directory Domain Services (AD DS) dan Microsoft Configuration Manager menyediakan manajemen perangkat di Direktori Aktif. Di MICROSOFT Entra ID, Intune menyediakan kemampuan yang sama.

Sebagai bagian dari sebagian besar modernisasi, migrasi, atau inisiatif Zero Trust, organisasi menggeser aktivitas IAM dari menggunakan solusi lokal atau Infrastruktur sebagai layanan (IaaS) untuk menggunakan solusi bawaan cloud. Untuk lingkungan TI yang menggunakan produk dan layanan Microsoft, Direktori Aktif dan ID Microsoft Entra memainkan peran.

Banyak perusahaan yang bermigrasi dari Direktori Aktif ke ID Microsoft Entra dimulai dengan lingkungan yang mirip dengan diagram berikut. Diagram juga mencakup tiga pilar:

  • Aplikasi: Mencakup aplikasi, sumber daya, dan server dasar yang bergabung dengan domain.

  • Perangkat: Berfokus pada perangkat klien yang bergabung dengan domain.

  • Pengguna dan Grup: Mewakili identitas dan atribut manusia dan beban kerja untuk akses sumber daya dan keanggotaan grup untuk tata kelola dan pembuatan kebijakan.

Architectural diagram that depicts the common technologies contained in the pillars of applications, devices, and users.

Microsoft telah membuat model lima status transformasi yang biasanya selaras dengan tujuan bisnis pelanggan. Saat tujuan pelanggan matang, biasanya mereka beralih dari satu status ke status berikutnya dengan kecepatan yang sesuai dengan sumber daya dan budaya mereka.

Kelima status tersebut memiliki kriteria keluar untuk membantu Anda menentukan di mana lingkungan Anda berada saat ini. Beberapa proyek, seperti migrasi aplikasi mencakup kelima status. Proyek lain mencakup satu status.

Konten kemudian memberikan panduan lebih detail yang diatur untuk membantu perubahan yang disengaja pada orang, proses, dan teknologi. Panduan ini dapat membantu Anda:

  • Buat jejak Microsoft Entra.

  • Terapkan pendekatan cloud-first.

  • Mulai migrasi keluar dari lingkungan Active Directory Anda.

Panduan diatur oleh manajemen pengguna, manajemen perangkat, dan manajemen aplikasi sesuai pilar sebelumnya.

Organisasi yang dibentuk di Microsoft Entra daripada di Direktori Aktif tidak memiliki lingkungan lokal warisan yang harus digabungkan dengan organisasi yang lebih mapan. Bagi mereka, atau pelanggan yang benar-benar membuat ulang lingkungan IT mereka di cloud, menjadi 100 persen cloud-sentris dapat dicapai saat lingkungan IT baru sudah terbentuk.

Untuk pelanggan dengan kemampuan IT lokal yang terbentuk, proses transformasi menghasilkan kompleksitas yang membutuhkan perencanaan yang cermat. Selain itu, karena Active Directory dan MICROSOFT Entra ID adalah produk terpisah yang ditargetkan pada lingkungan IT yang berbeda, mereka tidak memiliki fitur seperti untuk seperti itu. Misalnya, ID Microsoft Entra tidak memiliki gagasan domain Direktori Aktif dan kepercayaan hutan.

Lima status transformasi

Dalam organisasi berukuran perusahaan, transformasi IAM, atau bahkan transformasi dari Direktori Aktif ke ID Microsoft Entra, biasanya merupakan upaya multi-tahun dengan beberapa status. Anda menganalisis lingkungan untuk menentukan status Anda saat ini, lalu menetapkan tujuan untuk status Anda berikutnya. Tujuan Anda mungkin menghapus kebutuhan Direktori Aktif sepenuhnya, atau Anda mungkin memutuskan untuk tidak memigrasikan beberapa kemampuan ke ID Microsoft Entra dan membiarkannya di tempatnya.

Status secara logis mengelompokkan inisiatif ke dalam proyek untuk menyelesaikan transformasi. Selama transisi status, solusi sementara diberlakukan. Solusi sementara memungkinkan lingkungan IT untuk mendukung operasi IAM di Direktori Aktif dan ID Microsoft Entra. Solusi sementara juga harus memungkinkan dua lingkungan untuk beroperasi.

Diagram berikut menunjukkan aliran data:

Diagram that shows five network architectures: cloud attached, hybrid, cloud first, Active Directory minimized, and 100% cloud.

Catatan

Status dalam diagram ini mewakili perkembangan logis transformasi cloud. Kemampuan Anda untuk berpindah dari satu status ke status berikutnya bergantung pada fungsionalitas yang telah Anda terapkan dan kemampuan dalam fungsionalitas tersebut untuk berpindah ke cloud.

Status 1: Cloud yang terpasang

Dalam status terlampir cloud, organisasi telah membuat penyewa Microsoft Entra untuk memungkinkan produktivitas pengguna dan alat kolaborasi. Penyewa sudah beroperasi penuh.

Sebagian besar perusahaan yang menggunakan produk dan layanan Microsoft di lingkungan TI mereka sudah berada dalam atau di luar status ini. Dalam status ini biaya operasional mungkin lebih tinggi karena ada lingkungan lokal dan lingkungan cloud untuk mempertahankan serta membuat interaktif. Orang harus memiliki keahlian di kedua lingkungan untuk mendukung pengguna dan organisasi mereka.

Dalam status ini:

  • Perangkat digabungkan ke Active Directory dan dikelola melalui alat manajemen perangkat lokal atau Kebijakan Grup.
  • Pengguna dikelola di Direktori Aktif, disediakan melalui sistem manajemen identitas (IDM) lokal, dan disinkronkan ke ID Microsoft Entra melalui Microsoft Entra Koneksi.
  • Aplikasi diautentikasi ke Active Directory dan ke server federasi seperti Active Directory Federation Services (AD FS) melalui alat manajemen akses web (WAM), Microsoft 365, atau alat lain seperti SiteMinder serta Oracle Access Manager.

Status 2: Hibrid

Dalam status hibrid, organisasi mulai meningkatkan lingkungan lokal mereka melalui kemampuan cloud. Solusi dapat direncanakan untuk mengurangi kompleksitas, meningkatkan postur keamanan, dan mengurangi jejak lingkungan lokal.

Selama transisi dan saat beroperasi dalam keadaan ini, organisasi menumbuhkan keterampilan dan keahlian untuk menggunakan ID Microsoft Entra untuk solusi IAM. Karena akun pengguna dan lampiran perangkat relatif mudah dan merupakan bagian umum dari operasi TI sehari-hari, sebagian besar organisasi telah menggunakan pendekatan ini.

Dalam status ini:

  • Klien Windows bergabung dengan Microsoft Entra hybrid.

  • Platform non-Microsoft berdasarkan perangkat lunak sebagai layanan (SaaS) mulai diintegrasikan dengan ID Microsoft Entra. Contohnya adalah Salesforce dan ServiceNow.

  • Aplikasi warisan mengautentikasi ke ID Microsoft Entra melalui solusi Proksi Aplikasi atau mitra yang menawarkan akses hibrid yang aman.

  • Pengaturan ulang kata sandi swalayan (SSPR) dan perlindungan kata sandi untuk pengguna diaktifkan.

  • Beberapa aplikasi warisan diautentikasi di cloud melalui Microsoft Entra Domain Services dan Proksi Aplikasi.

Status 3: Cloud first

Dalam status cloud-first, tim di seluruh organisasi membangun rekam jejak keberhasilan dan mulai merencanakan untuk memindahkan beban kerja yang lebih menantang ke ID Microsoft Entra. Organisasi biasanya menghabiskan waktu paling lama dalam keadaan transformasi ini. Seiring kompleksitas, jumlah beban kerja, dan penggunaan Active Directory yang makin banyak dari waktu ke waktu, organisasi perlu meningkatkan upaya dan jumlah inisiatifnya untuk beralih ke cloud.

Dalam status ini:

  • Klien Windows baru bergabung ke MICROSOFT Entra ID dan dikelola melalui Intune.
  • Konektor ECMA digunakan untuk memprovisikan pengguna dan grup untuk aplikasi lokal.
  • Semua aplikasi yang sebelumnya menggunakan idP federasi terintegrasi AD DS, seperti LAYANAN Federasi Direktori Aktif, diperbarui untuk menggunakan ID Microsoft Entra untuk autentikasi. Jika Anda menggunakan autentikasi berbasis kata sandi melalui idP tersebut untuk ID Microsoft Entra, autentikasi tersebut akan dimigrasikan ke sinkronisasi hash kata sandi.
  • Rencana untuk mengalihkan layanan file dan cetak ke ID Microsoft Entra sedang dikembangkan.
  • Microsoft Entra ID menyediakan kemampuan kolaborasi business-to-business (B2B).
  • Grup baru dibuat dan dikelola di ID Microsoft Entra.

Status 4: Active Directory yang diminimalkan

MICROSOFT Entra ID menyediakan sebagian besar kemampuan IAM, sedangkan kasus dan pengecualian edge terus menggunakan Active Directory lokal. Status meminimalkan Active Directory lebih sulit dicapai, terutama bagi organisasi yang lebih besar yang memiliki kekurangan teknis lokal yang signifikan.

ID Microsoft Entra terus berkembang seiring dengan matangnya transformasi organisasi Anda, menghadirkan fitur dan alat baru yang dapat Anda gunakan. Organisasi diharuskan untuk menghentikan kemampuan atau membangun kemampuan baru untuk memberikan penggantian.

Dalam status ini:

  • Pengguna baru yang disediakan melalui kemampuan provisi SDM dibuat langsung di ID Microsoft Entra.

  • Rencana untuk memindahkan aplikasi yang bergantung pada Direktori Aktif dan merupakan bagian dari visi untuk lingkungan Microsoft Entra status di masa mendatang sedang dijalankan. Rencana untuk mengganti layanan yang tidak akan beralih (file, percetakan, atau layanan faks) sudah diberlakukan.

  • Beban kerja lokal telah diganti dengan alternatif cloud seperti Windows Virtual Desktop, Azure Files, atau Universal Print. Azure SQL Managed Instance menggantikan SQL Server.

Status 5: 100% cloud

Dalam status 100%-cloud, ID Microsoft Entra dan alat Azure lainnya menyediakan semua kemampuan IAM. Status ini adalah aspirasi jangka panjang bagi banyak organisasi.

Dalam status ini:

  • Jejak IAM lokal tidak diperlukan.

  • Semua perangkat dikelola di ID Microsoft Entra dan solusi cloud seperti Intune.

  • Siklus hidup identitas pengguna dikelola melalui ID Microsoft Entra.

  • Semua pengguna dan grup adalah cloud native.

  • Layanan jaringan yang mengandalkan Active Directory direlokasi.

Analogi transformasi

Transformasi antara status mirip dengan lokasi pemindahan:

  1. Membangun lokasi baru: Anda membeli tujuan dan membangun konektivitas antara lokasi saat ini dan lokasi baru. Aktivitas ini memungkinkan Anda untuk menjaga produktivitas dan kemampuan untuk beroperasi. Untuk informasi selengkapnya, lihat Membuat jejak Microsoft Entra. Hasil transisi Anda ke Status 2.

  2. Batasi item baru di lokasi lama: Anda berhenti berinvestasi di lokasi lama dan menetapkan kebijakan untuk menahapkan item baru di lokasi baru. Untuk informasi selengkapnya, lihat Menerapkan pendekatan cloud-first. Aktivitas ini menetapkan fondasi untuk bermigrasi dalam skala besar dan mencapai Status 3.

  3. Pindahkan item yang sudah ada ke lokasi baru: Anda memindahkan item dari lokasi lama ke lokasi baru. Anda menilai nilai bisnis item untuk menentukan apakah Anda memindahkannya apa adanya, meningkatkannya, menggantinya, atau menghentikannya. Untuk informasi selengkapnya, lihat Transisi ke cloud.

    Aktivitas ini memungkinkan Anda menyelesaikan status 3 dan mencapai status 4 serta status 5. Berdasarkan tujuan bisnis Anda, Anda memutuskan status akhir apa yang ingin Anda targetkan.

Transformasi ke cloud bukan hanya tanggung jawab tim identitas. Organisasi ini membutuhkan koordinasi di seluruh tim untuk menentukan kebijakan yang mencakup perubahan orang dan proses, bersama dengan teknologi. Menggunakan pendekatan terkoordinasi membantu memastikan progres yang konsisten dan mengurangi risiko regresi ke solusi lokal. Libatkan tim yang mengelola:

  • Devices/endpoints
  • Jaringan
  • Keamanan/risiko
  • Pemilik aplikasi
  • Sumber daya manusia
  • Kolaborasi
  • Pengadaan
  • Operasional

Perjalanan tingkat tinggi

Saat organisasi memulai migrasi IAM ke ID Microsoft Entra, mereka harus menentukan prioritas upaya berdasarkan kebutuhan spesifik mereka. Tim staf operasional dan staf pendukung harus dilatih untuk melakukan pekerjaan mereka di lingkungan baru. Bagan berikut menunjukkan perjalanan tingkat tinggi untuk migrasi dari Direktori Aktif ke ID Microsoft Entra:

Chart that shows three major milestones in migrating from Active Directory to Microsoft Entra ID: establish Microsoft Entra capabilities, implement a cloud-first approach, and move workloads to the cloud.

  • Buat jejak Microsoft Entra: Inisialisasi penyewa Microsoft Entra baru Anda untuk mendukung visi penyebaran status akhir Anda. Mengadopsi pendekatan Zero Trust dan model keamanan yang melindungi penyewa dari penyusupan lokal sejak awal perjalanan Anda.

  • Menerapkan pendekatan cloud-first: Buat kebijakan yang mewajibkan cloud-first di seluruh perangkat, aplikasi, dan layanan baru. Aplikasi dan layanan baru yang menggunakan protokol lama (misalnya, NTLM, Kerberos, atau LDAP) hanya boleh dengan pengecualian.

  • Bertransisi ke cloud: Alihkan manajemen dan integrasi pengguna, aplikasi, dan perangkat dari lokal dan ke alternatif yang cloud-first. Optimalkan provisi pengguna dengan memanfaatkan kemampuan provisi cloud-first yang terintegrasi dengan MICROSOFT Entra ID.

Transformasi mengubah cara pengguna menyelesaikan tugas dan cara tim dukungan memberikan dukungan pengguna akhir. Organisasi harus merancang dan menerapkan inisiatif atau proyek dengan cara yang meminimalkan dampak pada produktivitas pengguna.

Sebagai bagian dari transformasi, organisasi memperkenalkan kemampuan IAM layanan mandiri. Beberapa bagian tenaga kerja lebih mudah beradaptasi dengan lingkungan pengguna layanan mandiri yang lazim dalam bisnis berbasis cloud.

Aplikasi yang menua mungkin perlu diperbarui atau diganti untuk beroperasi dengan baik di lingkungan IT berbasis cloud. Pembaruan atau penggantian aplikasi bisa mahal dan memakan waktu. Perencanaan dan pentahapan lain juga harus mempertimbangkan usia dan kemampuan aplikasi organisasi.

Langkah berikutnya