Overgang naar de cloud
Nadat u uw organisatie hebt uitgelijnd om de groei van de Active Directory-footprint te stoppen, kunt u zich richten op het verplaatsen van de bestaande on-premises workloads naar Microsoft Entra-id. In dit artikel worden de verschillende migratiewerkstromen beschreven. U kunt de werkstromen in dit artikel uitvoeren op basis van uw prioriteiten en resources.
Een gebruikelijke migratiewerkstroom bevat de volgende fasen:
Ontdekken: Ontdek wat u momenteel in uw omgeving hebt.
Pilot: Implementeer nieuwe cloudmogelijkheden voor een kleine subset van gebruikers, toepassingen of apparaten, afhankelijk van de werkstroom.
Uitschalen: Vouw de pilot uit om de overgang van een mogelijkheid naar de cloud te voltooien.
Oversnijden (indien van toepassing): stop met het gebruik van de oude on-premises workload.
Gebruikers en groepen
Selfservice voor wachtwoorden inschakelen
We raden een omgeving zonder wachtwoorden aan. Tot die tijd kunt u selfservicewerkstromen voor wachtwoorden migreren van on-premises systemen naar Microsoft Entra ID om uw omgeving te vereenvoudigen. Microsoft Entra ID selfservice voor wachtwoordherstel (SSPR) biedt gebruikers de mogelijkheid om hun wachtwoord te wijzigen of opnieuw in te stellen, zonder tussenkomst van de beheerder of helpdesk.
Als u selfservicemogelijkheden wilt inschakelen, kiest u de juiste verificatiemethoden voor uw organisatie. Nadat de verificatiemethoden zijn bijgewerkt, kunt u selfservicewachtwoordfunctionaliteit voor gebruikers inschakelen voor uw Microsoft Entra-verificatieomgeving. Zie Implementatieoverwegingen voor selfservice voor wachtwoordherstel van Microsoft Entra voor hulp bij de implementatie.
Enkele aanvullende overwegingen:
- Implementeer Microsoft Entra Password Protection in een subset van domeincontrollers met de controlemodus om informatie te verzamelen over de impact van modern beleid.
- Schakel geleidelijk gecombineerde registratie in voor SSPR- en Microsoft Entra-meervoudige verificatie. Bijvoorbeeld implementeren per regio, dochteronderneming of afdeling voor alle gebruikers.
- Doorloop een cyclus van wachtwoordwijziging voor alle gebruikers om zwakke wachtwoorden te verwijderen. Nadat de cyclus is voltooid, implementeert u de verlooptijd van het beleid.
- Schakel de configuratie voor wachtwoordbeveiliging in op de domeincontrollers waarvoor de modus is ingesteld op Afdwingen. Zie On-premises Microsoft Entra-wachtwoordbeveiliging inschakelen voor meer informatie.
Notitie
- We raden gebruikerscommunicatie aan en te evangeliseren voor een soepele implementatie. Zie voorbeeldmateriaal voor SSPR-implementatie.
- Als u Microsoft Entra ID Protection gebruikt, schakelt u wachtwoordherstel in als een besturingselement in het beleid voor voorwaardelijke toegang voor gebruikers die als riskant zijn gemarkeerd.
Beheer van groepen verplaatsen
Groepen en distributielijsten transformeren:
Gebruik voor beveiligingsgroepen uw bestaande bedrijfslogica die gebruikers toewijst aan beveiligingsgroepen. Migreer de logica en mogelijkheid naar Microsoft Entra ID en dynamische groepen.
Voor zelfbeheerde groepsmogelijkheden van Microsoft Identity Manager vervangt u de mogelijkheid door selfservicegroepsbeheer.
U kunt distributielijsten converteren naar Microsoft 365-groepen in Outlook. Deze aanpak is een uitstekende manier om de distributielijsten van uw organisatie alle functies en functionaliteit van Microsoft 365-groepen te geven.
Werk uw distributielijsten bij naar Microsoft 365-groepen in Outlook en neem uw on-premises Exchange-server uit bedrijf.
Het inrichten van gebruikers en groepen verplaatsen naar toepassingen
U kunt uw omgeving vereenvoudigen door toepassingsinrichtingsstromen te verwijderen uit on-premises IDM-systemen (Identity Management), zoals Microsoft Identity Manager. Categoriseer uw toepassing op basis van de volgende kenmerken op basis van uw toepassingsdetectie:
Toepassingen in uw omgeving met een inrichtingsintegratie met de Microsoft Entra-toepassingsgalerie.
Toepassingen die zich niet in de galerie, maar wel het SCIM 2.0-protocol ondersteunen. Deze toepassingen zijn systeemeigen compatibel met de Microsoft Entra-cloudinrichtingsservice.
On-premises toepassingen met een ECMA-connector beschikbaar. Deze toepassingen kunnen worden geïntegreerd met het inrichten van on-premises Microsoft Entra-toepassingen.
Zie Een automatische implementatie van gebruikersinrichting plannen voor Microsoft Entra ID voor meer informatie.
Overstappen op HR-inrichting in de cloud
U kunt uw on-premises footprint verminderen door de HR-inrichtingswerkstromen te verplaatsen van on-premises IDM-systemen, zoals Microsoft Identity Manager, naar Microsoft Entra-id. Er zijn twee accounttypen beschikbaar voor hr-inrichting van Microsoft Entra-cloud:
Voor nieuwe werknemers die uitsluitend gebruikmaken van toepassingen die gebruikmaken van Microsoft Entra ID, kunt u ervoor kiezen om alleen cloudaccounts in te richten. Met deze inrichting kunt u de footprint van Active Directory bevatten.
Voor nieuwe werknemers die toegang nodig hebben tot toepassingen die afhankelijk zijn van Active Directory, kunt u hybride accounts inrichten.
Het inrichten van Microsoft Entra-cloud-HR kan ook Active Directory-accounts voor bestaande werknemers beheren. Zie De cloud-HR-toepassing plannen voor microsoft Entra-gebruikersinrichting en het implementatieproject plannen voor meer informatie.
Levenscycluswerkstromen verplaatsen
Evalueer uw bestaande joiner-/mover-/verlofwerkstromen en -processen voor toepasbaarheid en relevantie voor uw Microsoft Entra-cloudomgeving. U kunt deze werkstromen vervolgens vereenvoudigen en nieuwe maken met behulp van levenscycluswerkstromen.
Extern identiteitsbeheer verplaatsen
Als uw organisatie accounts in Active Directory of andere on-premises mappen instelt voor externe identiteiten, zoals leveranciers, aannemers of consultants, kunt u uw omgeving vereenvoudigen door deze gebruikersobjecten van derden systeemeigen te beheren in de cloud. Hier volgen enkele mogelijkheden:
Voor nieuwe externe gebruikers gebruikt u Microsoft Entra Externe ID, waardoor de Active Directory-footprint van gebruikers wordt gestopt.
Voor bestaande Active Directory-accounts die u voor externe identiteiten inricht, kunt u de overhead voor het beheren van lokale referenties (bijvoorbeeld wachtwoorden) verwijderen door deze te configureren voor B2B-samenwerking (business-to-business). Volg de stappen in Interne gebruikers uitnodigen voor B2B-samenwerking.
Gebruik Microsoft Entra-rechtenbeheer om toegang te verlenen tot toepassingen en resources. De meeste bedrijven hebben hiervoor speciale systemen en werkstromen die u nu kunt verplaatsen van on-premises hulpprogramma's.
Gebruik toegangsbeoordelingen om toegangsrechten en/of externe identiteiten te verwijderen die niet meer nodig zijn.
Apparaten
Niet-Windows-werkstations verplaatsen
U kunt niet-Windows-werkstations integreren met Microsoft Entra ID om de gebruikerservaring te verbeteren en te profiteren van beveiligingsfuncties in de cloud, zoals voorwaardelijke toegang.
Voor macOS:
Registreer macOS bij Microsoft Entra ID en registreer/beheer ze met behulp van een beheeroplossing voor mobiele apparaten.
Implementeer de invoegtoepassing Microsoft Enterprise SSO (eenmalige aanmelding) voor Apple-apparaten.
Plan om Platform SSO voor macOS 13 te implementeren.
Voor Linux kunt u zich aanmelden bij een virtuele Linux-machine (VM) met behulp van Microsoft Entra-referenties.
Andere Windows-versies voor werkstations vervangen
Als u de volgende besturingssystemen op werkstations hebt, kunt u upgraden naar de nieuwste versies om te profiteren van cloudeigen beheer (Microsoft Entra join en unified endpoint management):
Windows 7 of 8.x
Windows Server
VDI-oplossing
Dit project heeft twee primaire initiatieven:
Nieuwe implementaties: Een VDI-oplossing (Virtual Desktop Infrastructure) in de cloud implementeren, zoals Windows 365 of Azure Virtual Desktop, waarvoor geen on-premises Active Directory is vereist.
Bestaande implementaties: Als uw bestaande VDI-implementatie afhankelijk is van Active Directory, gebruikt u bedrijfsdoelstellingen en -doelen om te bepalen of u de oplossing onderhoudt of migreert naar Microsoft Entra-id.
Zie voor meer informatie:
Toepassingen
Microsoft Entra ID ondersteunt moderne verificatieprotocollen om een veilige omgeving te onderhouden. Als u toepassingsverificatie wilt overzetten van Active Directory naar Microsoft Entra-id, moet u het volgende doen:
Bepaal welke toepassingen zonder wijzigingen kunnen migreren naar Microsoft Entra-id.
Bepaal welke toepassingen een upgradepad hebben waarmee u kunt migreren met een upgrade.
Bepaal welke toepassingen vervanging of belangrijke codewijzigingen nodig hebben om te migreren.
Het resultaat van uw initiatief voor toepassingsdetectie is het maken van een lijst met prioriteit voor het migreren van uw toepassingsportfolio. De lijst bevat toepassingen die:
Een upgrade of update naar de software vereisen en er is een upgradepad beschikbaar.
Een upgrade of update naar de software vereisen, maar er is geen upgradepad beschikbaar.
Met behulp van de lijst kunt u de toepassingen die geen bestaand upgradepad hebben, verder evalueren. Bepaal of de bedrijfswaarde het bijwerken van de software rechtvaardigt of dat deze buiten gebruik moet worden gesteld. Als de software buiten gebruik moet worden gesteld, moet u beslissen of u een vervanging nodig hebt.
Op basis van de resultaten kunt u aspecten van uw transformatie van Active Directory naar Microsoft Entra ID opnieuw ontwerpen. Er zijn benaderingen die u kunt gebruiken om on-premises Active Directory uit te breiden naar Azure IaaS (Infrastructure as a Service) (lift and shift) voor toepassingen met niet-ondersteunde verificatieprotocollen. U wordt aangeraden een beleid in te stellen waarvoor een uitzondering is vereist om deze benadering te gebruiken.
Toepassingsdetectie
Nadat u uw app-portfolio hebt gesegmenteerd, kunt u prioriteit geven aan migratie op basis van bedrijfswaarde en bedrijfsprioriteit. U kunt hulpprogramma's gebruiken om uw app-inventaris te maken of te vernieuwen.
Er zijn drie belangrijke manieren om uw apps te categoriseren:
Moderne verificatie-apps: deze toepassingen gebruiken moderne verificatieprotocollen (zoals OIDC, OAuth2, SAML of WS-Federation) of die gebruikmaken van een federatieservice zoals Active Directory Federation Services (AD FS).
WaM-hulpprogramma's (Web Access Management): deze toepassingen gebruiken headers, cookies en vergelijkbare technieken voor eenmalige aanmelding. Voor deze apps is doorgaans een WAM-id-provider vereist, zoals Symantec SiteMinder.
Verouderde apps: deze toepassingen gebruiken verouderde protocollen zoals Kerberos, LDAP, Radius, Extern bureaublad en NTLM (niet aanbevolen).
Microsoft Entra ID kan worden gebruikt met elk type toepassing om functionaliteitsniveaus te bieden die verschillende migratiestrategieën, complexiteit en afwegingen tot gevolg hebben. Sommige organisaties hebben een toepassingsinventaris die kan worden gebruikt als een detectiebasislijn. (Het is gebruikelijk dat deze inventaris niet is voltooid of bijgewerkt.)
Moderne verificatie-apps detecteren:
Als u AD FS gebruikt, gebruikt u het activiteitenrapport van de AD FS-toepassing.
Als u een andere id-provider gebruikt, gebruikt u de logboeken en configuratie.
Met de volgende hulpprogramma's kunt u toepassingen detecteren die GEBRUIKMAKEN van LDAP:
Event1644Reader: Voorbeeldhulpprogramma voor het verzamelen van gegevens over LDAP-query's die zijn gemaakt op domeincontrollers met behulp van veldtechnieklogboeken.
Microsoft 365 Defender for Identity: Beveiligingsoplossing die gebruikmaakt van een bewakingsmogelijkheid voor aanmeldingsbewerkingen. (Houd er rekening mee dat hiermee bindingen worden vastgelegd met LDAP, niet Met Secure LDAP.)
PSLDAPQueryLogging: GitHub-hulpprogramma voor rapportage over LDAP-query's.
AD FS of andere federation-services migreren
Wanneer u uw migratie naar Microsoft Entra ID plant, kunt u overwegen eerst de apps te migreren die gebruikmaken van moderne verificatieprotocollen (zoals SAML en OpenID Verbinding maken). U kunt deze apps opnieuw configureren voor verificatie met Microsoft Entra ID via een ingebouwde connector vanuit de Azure-app Galerie of via registratie in Microsoft Entra ID.
Nadat u SaaS-toepassingen hebt verplaatst die zijn gefedereerd naar Microsoft Entra ID, zijn er enkele stappen om het on-premises federatiesysteem buiten gebruik te stellen:
Externe toegang naar interne toepassingen verplaatsen als u microsoft Entra-toepassingsproxy gebruikt
Belangrijk
Als u andere functies gebruikt, controleert u of deze services zijn verplaatst voordat u Active Directory Federation Services buiten gebruik gaat stellen.
WAM-verificatie-apps verplaatsen
Dit project is gericht op het migreren van SSO-mogelijkheden van WAM-systemen naar Microsoft Entra ID. Zie Toepassingen migreren van Symantec SiteMinder naar Microsoft Entra-id voor meer informatie.
Een strategie voor toepassingsserverbeheer definiëren
In termen van infrastructuurbeheer gebruiken on-premises omgevingen vaak een combinatie van GPO's (Group Policy Objects) en Microsoft Configuration Manager-functies om beheertaken te segmenteren. Taken kunnen bijvoorbeeld worden gesegmenteerd in beveiligingsbeleidsbeheer, updatebeheer, configuratiebeheer en bewaking.
Active Directory is bedoeld voor on-premises IT-omgevingen en Microsoft Entra ID is voor IT-omgevingen in de cloud. Een-op-een-pariteit van functies is hier niet aanwezig, dus u kunt toepassingsservers op verschillende manieren beheren.
Met Azure Arc kunt u bijvoorbeeld veel van de functies in Active Directory samenvoegen in één weergave wanneer u Microsoft Entra ID gebruikt voor identiteits- en toegangsbeheer (IAM). U kunt Microsoft Entra Domain Services ook gebruiken voor domeindeelnameservers in Microsoft Entra-id, met name wanneer u wilt dat deze servers GPO's gebruiken voor specifieke zakelijke of technische redenen.
Gebruik de volgende tabel om te bepalen welke azure-hulpprogramma's u kunt gebruiken om de on-premises omgeving te vervangen:
| Beheergebied | Functie on-premises (Active Directory) | Equivalente Microsoft Entra-functie |
|---|---|---|
| Beheer van beveiligingsbeleid | GPO, Microsoft Configuration Manager | Microsoft 365-Defender voor Cloud |
| Updatebeheer | Microsoft Configuration Manager, Windows Server Update Services | Azure Automation-updatebeheer |
| Configuratiebeheer | GPO, Microsoft Configuration Manager | Azure Automation State Configuration |
| Controleren | System Center Operations Manager | Azure Monitor-logboekanalyse |
Hier vindt u meer informatie die u kunt gebruiken voor toepassingsserverbeheer:
Azure Arc maakt Azure-functies mogelijk voor niet-Azure-VM's. U kunt deze bijvoorbeeld gebruiken om Azure-functies voor Windows Server op te halen wanneer deze on-premises of op Amazon Web Services wordt gebruikt, of om te verifiëren bij Linux-machines met SSH.
Als u moet wachten met het migreren of uitvoeren van een gedeeltelijke migratie, kunt u GPO's gebruiken met Microsoft Entra Domain Services.
Als u het beheer van toepassingsservers met Microsoft Configuration Manager nodig hebt, kunt u deze vereiste niet bereiken met Behulp van Microsoft Entra Domain Services. Microsoft Configuration Manager wordt niet ondersteund voor uitvoering in een Microsoft Entra Domain Services-omgeving. In plaats daarvan moet u uw on-premises Active Directory-exemplaar uitbreiden naar een domeincontroller die wordt uitgevoerd op een Azure-VM. Of u moet een nieuw Active Directory-exemplaar implementeren in een virtueel Azure IaaS-netwerk.
De migratiestrategie voor verouderde toepassingen definiëren
Verouderde toepassingen hebben afhankelijkheden zoals deze voor Active Directory:
Gebruikersverificatie en -autorisatie: Kerberos, NTLM, LDAP-binding, ACL's.
Toegang tot directorygegevens: LDAP-query's, schema-extensies, lezen/schrijven van mapobjecten.
Serverbeheer: Zoals bepaald door de strategie voor serverbeheer.
Als u deze afhankelijkheden wilt verminderen of elimineren, hebt u drie hoofdmethoden.
Methode 1
In de meest voorkeursbenadering voert u projecten uit om te migreren van verouderde toepassingen naar SaaS-alternatieven die gebruikmaken van moderne verificatie. Zorg ervoor dat de SaaS-alternatieven rechtstreeks worden geverifieerd bij Microsoft Entra ID:
Implementeer Microsoft Entra Domain Services in een virtueel Azure-netwerk en breid het schema uit om extra kenmerken op te nemen die nodig zijn voor de toepassingen.
Lift and shift legacy apps to VM's in the Azure virtual network that are domain-joined to Microsoft Entra Domain Services.
Publiceer verouderde apps naar de cloud met behulp van de Microsoft Entra-toepassingsproxy of een veilige hybride toegangspartner .
Naarmate verouderde apps buiten gebruik worden gesteld via ophalen, moet u uiteindelijk Microsoft Entra Domain Services buiten gebruik stellen die worden uitgevoerd in het virtuele Azure-netwerk.
Notitie
- Gebruik Microsoft Entra Domain Services als de afhankelijkheden zijn afgestemd op algemene implementatiescenario's voor Microsoft Entra Domain Services.
- Als u wilt controleren of Microsoft Entra Domain Services geschikt is, gebruikt u mogelijk hulpprogramma's zoals Servicetoewijzing in Azure Marketplace en automatische afhankelijkheidstoewijzing met Servicetoewijzing en Live Kaarten.
- Controleer of uw SQL Server-instantiëringen naar een ander domein kunnen worden gemigreerd. Als uw SQL-service wordt uitgevoerd op virtuele machines, gebruikt u deze richtlijnen.
Methode 2
Als de eerste benadering niet mogelijk is en een toepassing een sterke afhankelijkheid van Active Directory heeft, kunt u on-premises Active Directory uitbreiden naar Azure IaaS.
U kunt het platform opnieuw platformen ter ondersteuning van moderne serverloze hosting. Gebruik bijvoorbeeld PaaS (Platform as a Service). U kunt de code ook bijwerken om moderne verificatie te ondersteunen. U kunt de app ook rechtstreeks integreren met Microsoft Entra ID. Meer informatie over Microsoft Authentication Library in het Microsoft Identity Platform.
Verbinding maken een virtueel Azure-netwerk naar het on-premises netwerk via vpn (virtual private network) of Azure ExpressRoute.
Implementeer nieuwe domeincontrollers voor het on-premises Active Directory-exemplaar als virtuele machines in het virtuele Azure-netwerk.
Verouderde apps opheffen en verplaatsen naar VM's in het virtuele Azure-netwerk dat lid is van een domein.
Publiceer verouderde apps naar de cloud met behulp van de Microsoft Entra-toepassingsproxy of een veilige hybride toegangspartner .
Uiteindelijk moet u de on-premises Active Directory-infrastructuur buiten gebruik stellen en Active Directory volledig uitvoeren in het virtuele Azure-netwerk.
Naarmate verouderde apps buiten gebruik worden gesteld via het ophalen, wordt uiteindelijk het Active Directory-exemplaar buiten gebruik gesteld dat wordt uitgevoerd in het virtuele Azure-netwerk.
Benadering 3
Als de eerste migratie niet mogelijk is en een toepassing een sterke afhankelijkheid van Active Directory heeft, kunt u een nieuw Active Directory-exemplaar implementeren in Azure IaaS. Laat de toepassingen als verouderde toepassingen voor de nabije toekomst staan of laat ze vallen wanneer de kans zich voordoet.
Met deze aanpak kunt u de app loskoppelen van het bestaande Active Directory-exemplaar om het oppervlak te verminderen. We raden u aan deze alleen als laatste redmiddel te beschouwen.
Implementeer een nieuw Active Directory-exemplaar als virtuele machines in een virtueel Azure-netwerk.
Lift and shift legacy apps to VM's on the Azure virtual network that are domain-joined to the new Active Directory instance.
Publiceer verouderde apps naar de cloud met behulp van de Microsoft Entra-toepassingsproxy of een veilige hybride toegangspartner .
Naarmate verouderde apps buiten gebruik worden gesteld via het ophalen, wordt uiteindelijk het Active Directory-exemplaar buiten gebruik gesteld dat wordt uitgevoerd in het virtuele Azure-netwerk.
Vergelijking van strategieën
| Strategie | Microsoft Entra Domain Services. | Active Directory uitbreiden naar IaaS | Onafhankelijk Active Directory-exemplaar in IaaS |
|---|---|---|---|
| Ontkoppelen van on-premises Active Directory | Ja | No | Ja |
| Schema-extensies toestaan | Nr. | Ja | Ja |
| Volledig beheer | Nr. | Ja | Ja |
| Mogelijke herconfiguratie van vereiste apps (bijvoorbeeld ACL's of autorisatie) | Ja | No | Ja |
VPN-verificatie verplaatsen
Dit project is gericht op het verplaatsen van uw VPN-verificatie naar Microsoft Entra-id. Het is belangrijk om te weten dat er verschillende configuraties beschikbaar zijn voor VPN-gatewayverbindingen. U moet bepalen welke configuratie het beste aansluit bij uw behoeften. Zie vpn-gatewayontwerp voor meer informatie over het ontwerpen van een oplossing.
Hier volgen belangrijke punten over het gebruik van Microsoft Entra-id voor VPN-verificatie:
Controleer of uw VPN-providers moderne verificatie ondersteunen. Voorbeeld:
Voor Windows 10-apparaten kunt u microsoft Entra-ondersteuning integreren in de ingebouwde VPN-client.
Nadat u dit scenario hebt geëvalueerd, kunt u een oplossing implementeren om uw afhankelijkheid met on-premises te verwijderen om te verifiëren bij VPN.
Externe toegang naar interne toepassingen verplaatsen
Om uw omgeving te vereenvoudigen, kunt u microsoft Entra-toepassingsproxy gebruiken of hybride toegangspartners beveiligen om externe toegang te bieden. Hiermee kunt u de afhankelijkheid van on-premises reverse proxy-oplossingen verwijderen.
Het is belangrijk te vermelden dat het inschakelen van externe toegang tot een toepassing met behulp van de voorgaande technologieën een tussentijdse stap is. U moet meer werk doen om de toepassing volledig los te koppelen van Active Directory.
Met Microsoft Entra Domain Services kunt u toepassingsservers migreren naar de Cloud IaaS en loskoppelen van Active Directory, terwijl u microsoft Entra-toepassingsproxy gebruikt om externe toegang in te schakelen. Raadpleeg Microsoft Entra-toepassingsproxy implementeren voor Microsoft Entra Domain Services voor meer informatie over dit scenario.