Een cloud-first-benadering implementeren

Het is voornamelijk een proces- en beleidsgestuurde fase om zoveel mogelijk te stoppen of zoveel mogelijk te beperken, nieuwe afhankelijkheden toe te voegen aan Active Directory en een cloud-first benadering te implementeren voor nieuwe vraag naar IT-oplossingen.

Het is belangrijk op dit punt om de interne processen te identificeren die zouden leiden tot het toevoegen van nieuwe afhankelijkheden op Active Directory. De meeste organisaties hebben bijvoorbeeld een wijzigingsbeheerproces dat moet worden gevolgd vóór de implementatie van nieuwe scenario's, functies en oplossingen. We raden u ten zeerste aan ervoor te zorgen dat deze goedkeuringsprocessen voor wijzigingen worden bijgewerkt naar:

• Voeg een stap toe om te evalueren of de voorgestelde wijziging nieuwe afhankelijkheden aan Active Directory zou toevoegen.
• Vraag waar mogelijk de evaluatie van Microsoft Entra-alternatieven aan.

Gebruikers en groepen

U kunt gebruikerskenmerken in Microsoft Entra-id verrijken om meer gebruikerskenmerken beschikbaar te maken voor opname. Voorbeelden van veelvoorkomende scenario's die uitgebreide gebruikerskenmerken vereisen, zijn:

• App-inrichting: De gegevensbron van app-inrichting is Microsoft Entra-id en de benodigde gebruikerskenmerken moeten zich daar bevinden.

• Toepassingsautorisatie: een token dat problemen met Microsoft Entra-id's kan bevatten, kunnen claims bevatten die zijn gegenereerd op basis van gebruikerskenmerken, zodat toepassingen autorisatiebeslissingen kunnen nemen op basis van de claims in het token. Het kan ook kenmerken bevatten die afkomstig zijn van externe gegevensbronnen via een aangepaste claimprovider.

• Populatie en onderhoud van groepslidmaatschappen: Dynamische groepen maken dynamische populatie van groepslidmaatschap mogelijk op basis van gebruikerskenmerken, zoals afdelingsgegevens.

Deze twee links bieden richtlijnen voor het aanbrengen van schemawijzigingen:

• Inzicht in het Microsoft Entra-schema en de aangepaste expressies

• Kenmerken gesynchroniseerd door Microsoft Entra Connect

Deze koppelingen bevatten meer informatie over dit onderwerp, maar zijn niet specifiek voor het wijzigen van het schema:

• Kenmerken van Microsoft Entra-schema-extensies gebruiken in claims - Microsoft Identity Platform

• Wat zijn aangepaste beveiligingskenmerken in Microsoft Entra ID (preview)?

• Microsoft Entra-kenmerktoewijzingen aanpassen in het inrichten van toepassingen

• Optionele claims voor Microsoft Entra-apps opgeven - Microsoft Identity Platform

Deze koppelingen bieden meer informatie over groepen:

• Een dynamische groep maken of bewerken en de status ophalen in Microsoft Entra-id

• Selfservicegroepen gebruiken voor door de gebruiker geïnitieerd groepsbeheer

• Toepassingsinrichting op basis van kenmerken met bereikfilters of wat is Microsoft Entra-rechtenbeheer? (voor toegang tot toepassingen)

• Groepen vergelijken

• Machtigingen voor gasttoegang beperken in Microsoft Entra-id

U en uw team voelen zich mogelijk gedwongen om de inrichting van uw huidige werknemers te wijzigen om in dit stadium alleen cloudaccounts te gebruiken. De inspanning is niettrivieel, maar biedt niet voldoende bedrijfswaarde. U wordt aangeraden deze overgang in een andere fase van uw transformatie te plannen.

Apparaten

Clientwerkstations worden traditioneel gekoppeld aan Active Directory en beheerd via groepsbeleidsobjecten (GPO's) of oplossingen voor apparaatbeheer, zoals Microsoft Configuration Manager. Uw teams stellen een nieuw beleid en proces vast om te voorkomen dat nieuw geïmplementeerde werkstations lid worden van een domein. Belangrijke punten zijn onder andere:

• Verplicht Microsoft Entra join voor nieuwe Windows-clientwerkstations om geen domeindeelname meer te bereiken.

• Beheer werkstations vanuit de cloud met behulp van UEM-oplossingen (Unified Endpoint Management), zoals Intune.

Windows Autopilot kan u helpen bij het opzetten van een gestroomlijnde onboarding en apparaatinrichting, waarmee u deze instructies kunt afdwingen.

Windows Local Administrator Password Solution (LAPS) stelt een cloud-first oplossing in staat om de wachtwoorden van lokale beheerdersaccounts te beheren.

Zie Meer informatie over cloudeigen eindpunten voor meer informatie.

Toepassingen

Normaal gesproken worden toepassingsservers vaak gekoppeld aan een on-premises Active Directory-domein, zodat ze gebruikmaken van Geïntegreerde Windows-verificatie (Kerberos of NTLM), adreslijstquery's via LDAP en serverbeheer via GPO of Microsoft Configuration Manager.

De organisatie heeft een proces voor het evalueren van alternatieven voor Microsoft Entra wanneer het nieuwe services, apps of infrastructuur overweegt. Richtlijnen voor een cloud-first benadering van toepassingen moeten als volgt zijn. (Nieuwe on-premises toepassingen of verouderde toepassingen moeten een zeldzame uitzondering zijn wanneer er geen modern alternatief bestaat.)

• Geef een aanbeveling om het aankoopbeleid en het ontwikkelingsbeleid voor toepassingen te wijzigen om moderne protocollen (OIDC/OAuth2 en SAML) te vereisen en te verifiëren met behulp van Microsoft Entra ID. Nieuwe apps moeten ook het inrichten van Microsoft Entra-apps ondersteunen en geen afhankelijkheid hebben van LDAP-query's. Uitzonderingen vereisen expliciete controle en goedkeuring.

  Belangrijk

  Afhankelijk van de verwachte vereisten van toepassingen waarvoor verouderde protocollen zijn vereist, kunt u Ervoor kiezen Om Microsoft Entra Domain Services te implementeren wanneer meer actuele alternatieven niet werken.

• Geef een aanbeveling om een beleid te maken om prioriteit te geven aan het gebruik van cloudeigen alternatieven. Het beleid moet de implementatie van nieuwe toepassingsservers beperken tot het domein. Veelvoorkomende cloudscenario's voor het vervangen van aan Active Directory gekoppelde servers zijn:

  • Bestandsservers:

    • SharePoint of OneDrive biedt ondersteuning voor samenwerking in Microsoft 365-oplossingen en ingebouwde governance, risico's, beveiliging en naleving.

    • Azure Files biedt volledig beheerde bestandsshares in de cloud die toegankelijk zijn via het industriestandaard SMB- of NFS-protocol. Klanten kunnen systeemeigen Microsoft Entra-verificatie gebruiken voor Azure Files via internet zonder zicht op een domeincontroller.

    • Microsoft Entra ID werkt met toepassingen van derden in de Microsoft-toepassingsgalerie.

  • Afdrukservers:

    • Als uw organisatie een mandaat heeft voor het aanschaffen van printers die compatibel zijn met Universal Print, raadpleegt u Partnerintegraties.

    • Brug met de connector voor Universeel afdrukken voor niet-compatibele printers.

Volgende stappen

• Introductie
• Cloudtransformatiepostuur
• Een Microsoft Entra-footprint tot stand brengen
• Overgang naar de cloud