Delen via

Cloudtransformatiestrategie

Active Directory, Microsoft Entra ID en andere Microsoft-hulpprogramma's vormen de kern van identiteits- en toegangsbeheer (IAM). Active Directory Domain Services (AD DS) en Microsoft Configuration Manager bieden bijvoorbeeld apparaatbeheer in Active Directory. In Microsoft Entra ID biedt Intune dezelfde mogelijkheid.

Als onderdeel van de meeste moderniserings-, migratie- of Zero Trust-initiatieven verplaatsen organisaties IAM-activiteiten van het gebruik van on-premises of IaaS-oplossingen (Infrastructure-as-a-Service) naar het gebruik van ingebouwde oplossingen voor de cloud. Voor een IT-omgeving die gebruikmaakt van Microsoft-producten en -services, spelen Active Directory en Microsoft Entra ID een rol.

Veel bedrijven die migreren van Active Directory naar Microsoft Entra ID beginnen met een omgeving die vergelijkbaar is met het volgende diagram. ** In het diagram worden drie pijlers over elkaar gelegd.

  • Toepassingen: Bevat toepassingen, resources en hun onderliggende servers die lid zijn van een domein.

  • Apparaten: Richt zich op clientapparaten die lid zijn van een domein.

  • Gebruikers en groepen: vertegenwoordigt menselijke en workload identiteiten en kenmerken voor toegang tot resources en groepslidmaatschap voor governance en beleidvorming.

Architectuurdiagram met de algemene technologieën die zijn opgenomen in de pijlers van toepassingen, apparaten en gebruikers.

Microsoft heeft vijf statussen van transformatie gemodelleerd die vaak overeenkomen met de bedrijfsdoelen van klanten. Naarmate de doelstellingen van klanten volwassen worden, is het gebruikelijk dat ze overstappen van de ene staat naar de volgende in een tempo dat past bij hun resources en cultuur.

De vijf staten hebben exitcriteria om u te helpen bepalen waar uw omgeving zich vandaag de dag bevindt. Sommige projecten, zoals toepassingsmigratie, bestrijken alle vijf de fasen. Andere projecten beslaan één staat.

De inhoud biedt vervolgens gedetailleerdere richtlijnen die zijn georganiseerd om te helpen bij opzettelijke wijzigingen aan personen, processen en technologie. De richtlijnen kunnen u helpen:

  • Stel een Microsoft Entra-footprint in.

  • Implementeer een cloud-first benadering.

  • Begin met migreren uit uw Active Directory-omgeving.

Richtlijnen worden georganiseerd op basis van gebruikersbeheer, apparaatbeheer en toepassingsbeheer volgens de voorgaande pijlers.

Organisaties die zijn gevormd in Microsoft Entra in plaats van in Active Directory hebben niet de verouderde on-premises omgeving waarmee meer gevestigde organisaties te maken moeten hebben. Voor hen, of voor klanten die hun IT-omgeving volledig opnieuw maken in de cloud, kan het 100 procent cloudgericht worden plaatsvinden wanneer de nieuwe IT-omgeving is vastgesteld.

Voor klanten met een gevestigde on-premises IT-mogelijkheid introduceert het transformatieproces complexiteit waarvoor zorgvuldige planning is vereist. Omdat Active Directory en Microsoft Entra ID afzonderlijke producten zijn die zijn gericht op verschillende IT-omgevingen, hebben ze geen like-for-like functies. Microsoft Entra ID heeft bijvoorbeeld niet het begrip Active Directory-domein en forest-trusts.

Vijf statussen van transformatie

In grote organisaties, IAM-transformatie of zelfs transformatie van Active Directory naar Microsoft Entra ID, is doorgaans een inspanning van meerdere jaren met meerdere statussen. U analyseert uw omgeving om uw huidige status te bepalen en stelt vervolgens een doel in voor uw volgende status. Uw doel zou kunnen zijn om de noodzaak voor Active Directory volledig te verwijderen, of u besluit misschien om bepaalde mogelijkheden niet te migreren naar Microsoft Entra ID en ze daar te laten.

De staten groeperen logisch initiatieven in projecten ter voltooiing van een transformatie. Tijdens de statusovergangen plaatst u tussentijdse oplossingen. Met de tussentijdse oplossingen kan de IT-omgeving IAM-bewerkingen ondersteunen in zowel Active Directory als Microsoft Entra ID. De tussentijdse oplossingen moeten ook de twee omgevingen in staat stellen te interoperabelen.

In het volgende diagram ziet u de vijf statussen:

Diagram met vijf netwerkarchitecturen: cloud gekoppeld, hybride, cloud eerst, Active Directory geminimaliseerd en 100% cloud.

Opmerking

De statussen in dit diagram vertegenwoordigen een logische voortgang van cloudtransformatie. Uw mogelijkheid om van de ene status naar de volgende te gaan, is afhankelijk van de functionaliteit die u hebt geïmplementeerd en de mogelijkheden binnen die functionaliteit om naar de cloud te gaan.

Status 1: Gekoppeld aan de cloud

In de cloud gekoppelde status hebben organisaties een Microsoft Entra-tenant gemaakt om hulpprogramma's voor gebruikersproductiviteit en samenwerking mogelijk te maken. De tenant is volledig operationeel.

De meeste bedrijven die Microsoft-producten en -services in hun IT-omgeving gebruiken, bevinden zich al in of buiten deze status. In deze status kunnen de operationele kosten hoger zijn omdat er een on-premises omgeving en een cloudomgeving zijn om interactief te onderhouden en te maken. Mensen moeten expertise hebben in beide omgevingen om hun gebruikers en de organisatie te ondersteunen.

In deze status:

  • Apparaten worden toegevoegd aan Active Directory en beheerd via groepsbeleid of on-premises hulpprogramma's voor apparaatbeheer.
  • Gebruikers worden beheerd in Active Directory, ingericht via on-premises IDM-systemen (Identity Management) en gesynchroniseerd met Microsoft Entra ID via Microsoft Entra Connect.
  • Apps worden geverifieerd bij Active Directory en federatieservers zoals Active Directory Federation Services (AD FS) via een WAM-hulpprogramma (Web Access Management), Microsoft 365 of andere hulpprogramma's, zoals SiteMinder en Oracle Access Manager.

Status 2: Hybride

In de hybride status beginnen organisaties hun on-premises omgeving te verbeteren via cloudmogelijkheden. De oplossingen kunnen worden gepland om de complexiteit te verminderen, de beveiligingspostuur te verhogen en de footprint van de on-premises omgeving te verminderen.

Tijdens de overgang en terwijl ze in deze staat werken, vergroten organisaties de vaardigheden en expertise voor het gebruik van Microsoft Entra ID voor IAM-oplossingen. Omdat gebruikersaccounts en apparaatbijlagen relatief eenvoudig zijn en een gemeenschappelijk deel van dagelijkse IT-activiteiten, hebben de meeste organisaties deze aanpak gebruikt.

In deze status:

  • Windows-clienten zijn hybride verbonden met Microsoft Entra.

  • Niet-Microsoft-platformen op basis van SaaS (Software as a Service) worden geïntegreerd met Microsoft Entra ID. Voorbeelden zijn Salesforce en ServiceNow.

  • Verouderde apps verifiëren zich bij Microsoft Entra-id via application proxy- of partneroplossingen die veilige hybride toegang bieden.

  • Selfservice voor wachtwoordherstel (SSPR) en wachtwoordbeveiliging voor gebruikers zijn ingeschakeld.

  • Sommige verouderde apps worden geverifieerd in de cloud via Microsoft Entra Domain Services en toepassingsproxy.

Status 3: Cloud eerst

In de cloud-first-status bouwen de teams in de hele organisatie een trackrecord van succes en beginnen ze met het plannen om uitdagendere workloads naar Microsoft Entra ID te verplaatsen. Organisaties besteden meestal de meeste tijd aan deze transformatiestatus. Naarmate de complexiteit, het aantal workloads en het gebruik van Active Directory in de loop van de tijd toeneemt, moet een organisatie de inspanningen en het aantal initiatieven verhogen om naar de cloud te gaan.

In deze status:

  • Nieuwe Windows-clients worden toegevoegd aan Microsoft Entra ID en worden beheerd via Intune.
  • ECMA-connectors worden gebruikt voor het inrichten van gebruikers en groepen voor on-premises apps.
  • Alle apps die eerder een met AD DS geïntegreerde federatieve id-provider, zoals AD FS, hebben gebruikt, worden bijgewerkt voor het gebruik van Microsoft Entra ID voor verificatie. Als u verificatie op basis van wachtwoorden hebt gebruikt via die id-provider voor Microsoft Entra-id, wordt deze gemigreerd naar wachtwoord-hashsynchronisatie.
  • Plannen om bestands- en afdrukservices naar Microsoft Entra ID te verplaatsen, worden ontwikkeld.
  • Microsoft Entra ID biedt een B2B-samenwerkingsmogelijkheid (business-to-business).
  • Nieuwe groepen worden gemaakt en beheerd in Microsoft Entra-id.

Status 4: Active Directory geminimaliseerd

Microsoft Entra-id biedt de meeste IAM-mogelijkheden, terwijl edge-gevallen en uitzonderingen on-premises Active Directory blijven gebruiken. Het minimaliseren van Active Directory is moeilijker te bereiken, met name voor grotere organisaties die aanzienlijke technische schulden on-premises hebben.

Microsoft Entra ID blijft zich ontwikkelen naarmate de transformatie van uw organisatie zich verder ontwikkelt, waardoor nieuwe functies en hulpprogramma's worden toegevoegd die u kunt gebruiken. Organisaties zijn verplicht om mogelijkheden te verwijderen of nieuwe mogelijkheden te bouwen om vervanging te bieden.

In deze status:

  • Nieuwe gebruikers die zijn ingericht via de HR-inrichtingsmogelijkheid, worden rechtstreeks in Microsoft Entra-id gemaakt.

  • Een plan om apps te verplaatsen die afhankelijk zijn van Active Directory en die deel uitmaken van de visie voor de toekomstige Microsoft Entra-omgeving, wordt uitgevoerd. Er is een plan om services te vervangen die niet worden verplaatst (bestands-, afdruk- of faxservices).

  • On-premises workloads zijn vervangen door alternatieven voor de cloud, zoals Windows Virtual Desktop, Azure Files of Universal Print. Azure SQL Managed Instance vervangt SQL Server.

Status 5: 100% cloud

In de 100%-cloudstatus bieden Microsoft Entra ID en andere Azure-hulpprogramma's alle IAM-mogelijkheden. Deze status is de langetermijnaspiratie voor veel organisaties.

In deze status:

  • Er is geen lokale IAM-voetafdruk vereist.

  • Alle apparaten worden beheerd in Microsoft Entra ID en cloudoplossingen zoals Intune.

  • De levenscyclus van de gebruikersidentiteit wordt beheerd via Microsoft Entra-id.

  • Alle gebruikers en groepen zijn cloudeigen.

  • Netwerkservices die afhankelijk zijn van Active Directory, worden verplaatst.

Analogie van transformatie

De transformatie tussen de statussen is vergelijkbaar met het verplaatsen van locaties:

  1. Maak een nieuwe locatie: U koopt uw bestemming en brengt verbinding tot stand tussen de huidige locatie en de nieuwe locatie. Met deze activiteiten kunt u uw productiviteit en de mogelijkheid om te werken behouden. Zie Een Microsoft Entra-footprint tot stand brengen voor meer informatie. De resultaten gaan over naar status 2.

  2. Beperk nieuwe items op de oude locatie: u stopt met investeren in de oude locatie en stelt een beleid in om nieuwe items op de nieuwe locatie te fasen. Zie Een cloud-first benadering implementeren voor meer informatie. Met deze activiteiten wordt de basis ingesteld om op schaal te migreren en status 3 te bereiken.

  3. Bestaande items verplaatsen naar de nieuwe locatie: u verplaatst items van de oude locatie naar de nieuwe locatie. U beoordeelt de bedrijfswaarde van de items om te bepalen of u ze verplaatst, ze bijwerken, vervangen of verwijderen. Zie Overgang naar de cloud voor meer informatie.

    Met deze activiteiten kunt u status 3 voltooien en statussen 4 en 5 bereiken. Op basis van uw bedrijfsdoelstellingen bepaalt u welke eindstatus u wilt bereiken.

Transformatie naar de cloud is niet alleen de verantwoordelijkheid van het identiteitsteam. De organisatie heeft coördinatie nodig tussen teams om beleid te definiëren dat mensen en procesverandering omvat, samen met technologie. Het gebruik van een gecoördineerde aanpak zorgt voor consistente voortgang en vermindert het risico op regresseren van on-premises oplossingen. Betrek teams die het volgende beheren:

  • Apparaten/eindpunten
  • Netwerken
  • Beveiliging/risico
  • Eigenaren van toepassingen
  • Personeel
  • Samenwerking
  • Inkoop
  • Bedrijfsactiviteiten

Hoogwaardig traject

Wanneer organisaties een migratie van IAM naar Microsoft Entra ID starten, moeten ze de prioriteit van de inspanningen bepalen op basis van hun specifieke behoeften. Operationele medewerkers en ondersteuningsmedewerkers moeten worden getraind om hun taken in de nieuwe omgeving uit te voeren. In de volgende grafiek ziet u het traject op hoog niveau voor migratie van Active Directory naar Microsoft Entra-id:

Grafiek met drie belangrijke mijlpalen bij het migreren van Active Directory naar Microsoft Entra ID: microsoft Entra-mogelijkheden tot stand brengen, een cloud-first benadering implementeren en workloads verplaatsen naar de cloud.

  • Maak een Microsoft Entra-footprint: initialiseer uw nieuwe Microsoft Entra-tenant om de visie voor uw end-state-implementatie te ondersteunen. Gebruik een Zero Trust-benadering en een beveiligingsmodel dat uw tenant al vroeg in uw traject beschermt tegen inbreuken op locatie.

  • Implementeer een cloud-first aanpak: stel een beleid in dat alle nieuwe apparaten, apps en services cloud-first moeten zijn. Nieuwe toepassingen en services die gebruikmaken van verouderde protocollen (bijvoorbeeld NTLM, Kerberos of LDAP) mogen alleen uitzondering zijn.

  • Overstappen naar de cloud: verschuif het beheer en de integratie van gebruikers, apps en apparaten van on-premises en over naar cloud-first alternatieven. Optimaliseer gebruikersvoorziening door gebruik te maken van cloud-first inrichtingsmogelijkheden die integreren met Microsoft Entra ID.

De transformatie verandert hoe gebruikers taken uitvoeren en hoe ondersteuningsteams gebruikersondersteuning bieden. De organisatie moet initiatieven of projecten ontwerpen en implementeren op een manier die de impact op de productiviteit van gebruikers minimaliseert.

Als onderdeel van de transformatie introduceert de organisatie selfservice-IAM-mogelijkheden. Sommige onderdelen van het personeel kunnen zich gemakkelijker aanpassen aan de selfservicegebruikersomgeving die veel voorkomt in cloudbedrijven.

Verouderde toepassingen moeten mogelijk worden bijgewerkt of vervangen om goed te kunnen werken in IT-omgevingen in de cloud. Toepassingsupdates of vervangingen kunnen kostbaar en tijdrovend zijn. De planning en andere fasen moeten ook rekening houden met de leeftijd en de mogelijkheid van de toepassingen van de organisatie.

Volgende stappen

  • Last updated on