Przejście do chmury

Po dostosowaniu organizacji do zatrzymania wzrostu śladu usługi Active Directory możesz skupić się na przeniesieniu istniejących obciążeń lokalnych do identyfikatora Entra firmy Microsoft. W tym artykule opisano różne strumienie robocze migracji. Strumienie robocze w tym artykule można wykonywać na podstawie priorytetów i zasobów.

Typowy strumień roboczy migracji ma następujące etapy:

• Odkryj: Dowiedz się, co obecnie masz w swoim środowisku.

• Pilotaż: w zależności od strumienia pracy wdróż nowe możliwości chmury w małym podzestawie użytkowników, aplikacji lub urządzeń.

• Skalowanie w poziomie: rozwiń pilotaż, aby ukończyć przejście możliwości do chmury.

• Przecięcie (jeśli ma zastosowanie): Zatrzymaj korzystanie ze starego obciążenia lokalnego.

Użytkownicy i grupy

Włączanie samoobsługi haseł

Zalecamy środowisko bez hasła. Do tego czasu można migrować samoobsługowe przepływy pracy haseł z systemów lokalnych do identyfikatora Entra firmy Microsoft, aby uprościć środowisko. Usługa Samoobsługowego resetowania hasła (SSPR) firmy Microsoft entra ID umożliwia użytkownikom zmianę lub zresetowanie hasła bez udziału administratora ani działu pomocy technicznej.

Aby włączyć funkcje samoobsługi, wybierz odpowiednie metody uwierzytelniania dla organizacji. Po zaktualizowaniu metod uwierzytelniania można włączyć funkcję samoobsługowego hasła użytkownika dla środowiska uwierzytelniania firmy Microsoft Entra. Aby uzyskać wskazówki dotyczące wdrażania, zobacz Zagadnienia dotyczące wdrażania dla samoobsługowego resetowania haseł firmy Microsoft.

Dodatkowe zagadnienia obejmują:

• Wdróż ochronę haseł firmy Microsoft w podzestawie kontrolerów domeny z trybem inspekcji , aby zebrać informacje o wpływie nowoczesnych zasad.
• Stopniowo włączaj rejestrację połączoną na potrzeby samoobsługowego resetowania hasła i uwierzytelniania wieloskładnikowego firmy Microsoft. Na przykład wdrożenie według regionu, jednostki zależnej lub działu dla wszystkich użytkowników.
• Zapoznaj się z cyklem zmiany hasła dla wszystkich użytkowników, aby opróżnić słabe hasła. Po zakończeniu cyklu zaimplementuj czas wygaśnięcia zasad.
• Przełącz konfigurację ochrony haseł na kontrolerach domeny, które mają tryb ustawiony na Wymuszone. Aby uzyskać więcej informacji, zobacz Włączanie lokalnej ochrony haseł firmy Microsoft Entra.

Uwaga

• Zalecamy komunikację użytkowników i propagowanie na potrzeby bezproblemowego wdrażania. Zobacz przykładowe materiały wdrażania samoobsługowego resetowania hasła.
• Jeśli używasz Ochrona tożsamości Microsoft Entra, włącz resetowanie hasła jako kontrolkę w zasadach dostępu warunkowego dla użytkowników oznaczonych jako ryzykowne.

Przenoszenie zarządzania grupami

Aby przekształcić grupy i listy dystrybucyjne:

• W przypadku grup zabezpieczeń użyj istniejącej logiki biznesowej, która przypisuje użytkowników do grup zabezpieczeń. Migrowanie logiki i możliwości do grup członkostwa w usłudze Microsoft Entra ID i dynamicznych.

• W przypadku funkcji samodzielnej grupy udostępnionej przez program Microsoft Identity Manager zastąp funkcję samoobsługowego zarządzania grupami.

• Listy dystrybucyjne można przekonwertować na grupy platformy Microsoft 365 w programie Outlook. Takie podejście to doskonały sposób na nadanie organizacji listy dystrybucyjnej wszystkich funkcji i funkcji grup platformy Microsoft 365.

• Uaktualnij listy dystrybucyjne do grup platformy Microsoft 365 w programie Outlook i likwiduj lokalny serwer Exchange.

Przenoszenie aprowizacji użytkowników i grup do aplikacji

Środowisko można uprościć, usuwając przepływy aprowizacji aplikacji z lokalnych systemów zarządzania tożsamościami (IDM), takich jak Microsoft Identity Manager. Na podstawie odnajdywania aplikacji kategoryzuj aplikację na podstawie następujących cech:

• Aplikacje w środowisku, które mają integrację aprowizacji z galerią aplikacji Firmy Microsoft Entra.

• Aplikacje, które nie są w galerii, ale obsługują protokół SCIM 2.0. Te aplikacje są natywnie zgodne z usługą aprowizacji w chmurze firmy Microsoft Entra.

• Aplikacje lokalne, które mają dostępny łącznik ECMA. Te aplikacje można zintegrować z lokalną aprowizowaniem aplikacji firmy Microsoft.

Aby uzyskać więcej informacji, zobacz Planowanie automatycznego wdrażania aprowizacji użytkowników dla identyfikatora Entra firmy Microsoft.

Przenoszenie do aprowizacji działu kadr w chmurze

Możesz zmniejszyć ślad lokalny, przenosząc przepływy pracy aprowizacji kadr z lokalnych systemów IDM, takich jak Microsoft Identity Manager, do microsoft Entra ID. Dla aprowizacji działu kadr w chmurze firmy Microsoft są dostępne dwa typy kont:

• W przypadku nowych pracowników, którzy korzystają wyłącznie z aplikacji korzystających z identyfikatora Microsoft Entra ID, możesz aprowizować konta tylko w chmurze. Ta aprowizacja pomaga zawierać ślad usługi Active Directory.

• W przypadku nowych pracowników, którzy potrzebują dostępu do aplikacji, które mają zależność od usługi Active Directory, można aprowizować konta hybrydowe.

Aprowizacja działu kadr w chmurze firmy Microsoft może również zarządzać kontami usługi Active Directory dla istniejących pracowników. Aby uzyskać więcej informacji, zobacz Planowanie aplikacji cloud HR na potrzeby aprowizacji użytkowników firmy Microsoft i Planowanie projektu wdrożenia.

Przenoszenie przepływów pracy cyklu życia

Oceń istniejące przepływy pracy i procesy dołączania/mover/leaver pod kątem stosowania i istotności środowiska chmury firmy Microsoft Entra. Następnie można uprościć te przepływy pracy i utworzyć nowe przy użyciu przepływów pracy cyklu życia.

Przenoszenie zewnętrznego zarządzania tożsamościami

Jeśli Organizacja aprowizuje konta w usłudze Active Directory lub innych katalogach lokalnych dla tożsamości zewnętrznych, takich jak dostawcy, wykonawcy lub konsultantów, możesz uprościć środowisko, zarządzając obiektami użytkowników innych firm natywnie w chmurze. Oto kilka możliwości:

• W przypadku nowych użytkowników zewnętrznych należy użyć Tożsamość zewnętrzna Microsoft Entra, co uniemożliwia użytkownikom korzystanie z usługi Active Directory.

• W przypadku istniejących kont usługi Active Directory aprowizowania tożsamości zewnętrznych można usunąć koszty związane z zarządzaniem poświadczeniami lokalnymi (na przykład hasłami), konfigurując je na potrzeby współpracy między firmami (B2B). Wykonaj kroki opisane w temacie Zapraszanie użytkowników wewnętrznych do współpracy B2B.

• Użyj zarządzania upoważnieniami firmy Microsoft Entra, aby udzielić dostępu do aplikacji i zasobów. Większość firm ma dedykowane systemy i przepływy pracy w tym celu, które można teraz wyprowadzić z narzędzi lokalnych.

• Użyj przeglądów dostępu, aby usunąć prawa dostępu i/lub tożsamości zewnętrzne, które nie są już potrzebne.

Urządzenia

Przenoszenie stacji roboczych spoza systemu Windows

Możesz zintegrować stacje robocze spoza systemu Windows z firmą Microsoft Entra ID, aby ulepszyć środowisko użytkownika i korzystać z funkcji zabezpieczeń opartych na chmurze, takich jak dostęp warunkowy.

• W przypadku systemu macOS:

  • Zarejestruj system macOS w usłudze Microsoft Entra ID i zarejestruj je/zarządzaj nimi przy użyciu rozwiązania do zarządzania urządzeniami przenośnymi.

  • Wdróż wtyczkę microsoft Enterprise SSO (logowanie jednokrotne) dla urządzeń firmy Apple.

  • Zaplanuj wdrożenie logowania jednokrotnego platformy dla systemu macOS 13.

• W przypadku systemu Linux możesz zalogować się do maszyny wirtualnej z systemem Linux przy użyciu poświadczeń firmy Microsoft Entra.

Zastępowanie innych wersji systemu Windows dla stacji roboczych

Jeśli masz następujące systemy operacyjne na stacjach roboczych, rozważ uaktualnienie do najnowszych wersji, aby skorzystać z zarządzania natywnego dla chmury (dołączanie do firmy Microsoft Entra i ujednolicone zarządzanie punktami końcowymi):

• Windows 7 lub 8.x

• Windows Server

Rozwiązanie VDI

Ten projekt ma dwie główne inicjatywy:

• Nowe wdrożenia: wdrażanie rozwiązania infrastruktury pulpitu wirtualnego (VDI) zarządzanego przez chmurę, takiego jak Windows 365 lub Azure Virtual Desktop, które nie wymaga lokalna usługa Active Directory.

• Istniejące wdrożenia: jeśli istniejące wdrożenie VDI jest zależne od usługi Active Directory, użyj celów biznesowych i celów, aby określić, czy utrzymujesz rozwiązanie, czy przeprowadzasz migrację do identyfikatora Entra firmy Microsoft.

Aby uzyskać więcej informacji, zobacz:

• Wdrażanie maszyn wirtualnych dołączonych do firmy Microsoft w usłudze Azure Virtual Desktop

• Przewodnik planowania systemu Windows 365

Aplikacje

Aby ułatwić utrzymanie bezpiecznego środowiska, identyfikator Entra firmy Microsoft obsługuje nowoczesne protokoły uwierzytelniania. Aby przenieść uwierzytelnianie aplikacji z usługi Active Directory do identyfikatora Entra firmy Microsoft, musisz:

• Ustal, które aplikacje mogą migrować do identyfikatora Entra firmy Microsoft bez modyfikacji.

• Ustal, które aplikacje mają ścieżkę uaktualnienia, która umożliwia migrację z uaktualnieniem.

• Ustal, które aplikacje wymagają zastąpienia lub znaczących zmian w kodzie do migracji.

Wynikiem inicjatywy odnajdywania aplikacji jest utworzenie listy priorytetowej na potrzeby migracji portfela aplikacji. Lista zawiera aplikacje, które:

• Wymagaj uaktualnienia lub aktualizacji oprogramowania, a dostępna jest ścieżka uaktualnienia.

• Wymagaj uaktualnienia lub aktualizacji oprogramowania, ale ścieżka uaktualnienia nie jest dostępna.

Korzystając z listy, można dokładniej ocenić aplikacje, które nie mają istniejącej ścieżki uaktualnienia. Ustal, czy wartość biznesowa gwarantuje aktualizację oprogramowania, czy też należy je wycofać. Jeśli oprogramowanie powinno zostać wycofane, zdecyduj, czy potrzebujesz zastąpienia.

Na podstawie wyników możesz przeprojektować aspekty transformacji z usługi Active Directory do identyfikatora Entra firmy Microsoft. Istnieją podejścia, których można użyć do rozszerzania lokalna usługa Active Directory na infrastrukturę jako usługę platformy Azure (IaaS) (lift and shift) dla aplikacji z nieobsługiwanymi protokołami uwierzytelniania. Zalecamy ustawienie zasad, które wymagają wyjątku w celu użycia tego podejścia.

Odnajdywanie aplikacji

Po segmentacjach portfela aplikacji można określić priorytety migracji na podstawie wartości biznesowej i priorytetu biznesowego. Możesz użyć narzędzi do tworzenia lub odświeżania spisu aplikacji.

Istnieją trzy główne sposoby kategoryzowania aplikacji:

• Nowoczesne aplikacje uwierzytelniania: te aplikacje korzystają z nowoczesnych protokołów uwierzytelniania (takich jak OIDC, OAuth2, SAML lub WS-Federation) lub używających usługi federacyjnej, takiej jak Active Directory Federation Services (AD FS).

• Narzędzia do zarządzania dostępem do sieci Web (WAM): te aplikacje używają nagłówków, plików cookie i podobnych technik logowania jednokrotnego. Te aplikacje zazwyczaj wymagają dostawcy tożsamości WAM, takiego jak Symantec SiteMinder.

• Starsze aplikacje: te aplikacje używają starszych protokołów, takich jak Kerberos, LDAP, Radius, Pulpit zdalny i NTLM (niezalecane).

Identyfikator Entra firmy Microsoft może być używany z każdym typem aplikacji, aby zapewnić poziomy funkcjonalności, które skutkują różnymi strategiami migracji, złożonością i kompromisami. Niektóre organizacje mają spis aplikacji, który może być używany jako punkt odniesienia odnajdywania. (Często zdarza się, że ten spis nie został ukończony ani zaktualizowany).

Aby odnaleźć nowoczesne aplikacje uwierzytelniania:

• Jeśli używasz usług AD FS, użyj raportu aktywności aplikacji usług AD FS.

• Jeśli używasz innego dostawcy tożsamości, użyj dzienników i konfiguracji.

Następujące narzędzia mogą ułatwić odnajdywanie aplikacji korzystających z protokołu LDAP:

• Event1644Reader: przykładowe narzędzie do zbierania danych dotyczących zapytań LDAP wykonanych na kontrolerach domeny przy użyciu dzienników inżynierii pól.

• Microsoft 365 Defender for Identity: rozwiązanie zabezpieczeń korzystające z możliwości monitorowania operacji logowania. (Należy pamiętać, że przechwytuje powiązania przy użyciu protokołu LDAP, a nie protokołu Secure LDAP).

• PSLDAPQueryLogging: narzędzie GitHub do raportowania zapytań LDAP.

Migrowanie usług AD FS lub innych usług federacyjnych

Podczas planowania migracji do identyfikatora Entra firmy Microsoft należy najpierw rozważyć migrację aplikacji korzystających z nowoczesnych protokołów uwierzytelniania (takich jak SAML i OpenID Connect). Możesz ponownie skonfigurować te aplikacje do uwierzytelniania za pomocą identyfikatora Entra firmy Microsoft za pośrednictwem wbudowanego łącznika z galerii aplikacja systemu Azure lub za pomocą rejestracji w usłudze Microsoft Entra ID.

Po przeniesieniu aplikacji SaaS, które zostały sfederowane z identyfikatorem Entra firmy Microsoft, należy wykonać kilka kroków likwidowania lokalnego systemu federacyjnego:

• Przenoszenie uwierzytelniania aplikacji do identyfikatora entra firmy Microsoft

• Migrowanie z serwera azure Multifactor Authentication Server (MFA Server) do uwierzytelniania wieloskładnikowego firmy Microsoft

• Migrowanie z federacji do uwierzytelniania w chmurze

• Przenoszenie dostępu zdalnego do aplikacji wewnętrznych, jeśli używasz serwera proxy aplikacji Microsoft Entra

Ważne

Jeśli używasz innych funkcji, sprawdź, czy te usługi są przeniesione przed zlikwidowanie usług Active Directory Federation Services.

Przenoszenie aplikacji uwierzytelniania WAM

Ten projekt koncentruje się na migrowaniu możliwości logowania jednokrotnego z systemów WAM do identyfikatora Entra firmy Microsoft. Aby dowiedzieć się więcej, zobacz Migrowanie aplikacji z witryny firmy SymantecMinder do identyfikatora Entra firmy Microsoft.

Definiowanie strategii zarządzania serwerem aplikacji

Jeśli chodzi o zarządzanie infrastrukturą, środowiska lokalne często używają kombinacji obiektów zasad grupy (GPO) i programu Microsoft Configuration Manager do segmentowania zadań zarządzania. Na przykład obowiązki można podzielić na zarządzanie zasadami zabezpieczeń, zarządzanie aktualizacjami, zarządzanie konfiguracją i monitorowanie.

Usługa Active Directory jest przeznaczony dla lokalnych środowisk IT, a microsoft Entra ID jest przeznaczony dla środowisk IT opartych na chmurze. Nie ma tu parzystości funkcji jeden do jednego, więc można zarządzać serwerami aplikacji na kilka sposobów.

Na przykład usługa Azure Arc ułatwia łączenie wielu funkcji istniejących w usłudze Active Directory w jednym widoku, gdy używasz identyfikatora Entra firmy Microsoft do zarządzania tożsamościami i dostępem (IAM). Usługi Microsoft Entra Domain Services można również używać do serwerów przyłączania do domeny w usłudze Microsoft Entra ID, zwłaszcza gdy te serwery mają używać obiektów zasad grupy z określonych powodów biznesowych lub technicznych.

Poniższa tabela umożliwia określenie narzędzi opartych na platformie Azure, których można użyć do zastąpienia środowiska lokalnego:

Obszar zarządzania	Funkcja lokalna (Active Directory)	Równoważna funkcja Microsoft Entra
Zarządzanie zasadami dotyczącymi zabezpieczeń	Obiekt zasad grupy, Microsoft Configuration Manager	Defender dla Chmury platformy Microsoft 365
Zarządzanie aktualizacjami	Microsoft Configuration Manager, Windows Server Update Services	Azure Automation — Update Management
Zarządzanie konfiguracją	Obiekt zasad grupy, Microsoft Configuration Manager	Konfiguracja stanu usługi Azure Automation
Monitorowanie	System Center Operations Manager	Azure Monitor Log Analytics

Oto więcej informacji, których można użyć do zarządzania serwerem aplikacji:

• Usługa Azure Arc umożliwia korzystanie z funkcji platformy Azure dla maszyn wirtualnych spoza platformy Azure. Można na przykład użyć jej do pobrania funkcji platformy Azure dla systemu Windows Server, gdy jest używany lokalnie lub w usługach Amazon Web Services, albo uwierzytelniać się na maszynach z systemem Linux za pomocą protokołu SSH.

• Zarządzanie środowiskiem maszyny wirtualnej platformy Azure i zabezpieczanie go.

• Jeśli musisz poczekać na migrację lub przeprowadzić częściową migrację, możesz użyć obiektów zasad grupy z usługami Microsoft Entra Domain Services.

Jeśli potrzebujesz zarządzania serwerami aplikacji za pomocą programu Microsoft Configuration Manager, nie możesz osiągnąć tego wymagania przy użyciu usług Microsoft Entra Domain Services. Program Microsoft Configuration Manager nie jest obsługiwany do uruchamiania w środowisku microsoft Entra Domain Services. Zamiast tego należy rozszerzyć wystąpienie lokalna usługa Active Directory na kontroler domeny uruchomiony na maszynie wirtualnej platformy Azure. Możesz też wdrożyć nowe wystąpienie usługi Active Directory w sieci wirtualnej IaaS platformy Azure.

Definiowanie strategii migracji dla starszych aplikacji

Starsze aplikacje mają takie zależności jak w usłudze Active Directory:

• Uwierzytelnianie i autoryzacja użytkownika: Kerberos, NTLM, powiązanie LDAP, listy ACL.

• Dostęp do danych katalogu: zapytania LDAP, rozszerzenia schematu, odczyt/zapis obiektów katalogu.

• Zarządzanie serwerem: zgodnie ze strategią zarządzania serwerem.

Aby zmniejszyć lub wyeliminować te zależności, masz trzy główne podejścia.

Sposób 1

W najbardziej preferowanym podejściu podejmujesz projekty migracji ze starszych aplikacji do alternatyw SaaS korzystających z nowoczesnego uwierzytelniania. Czy alternatywy SaaS są uwierzytelniane bezpośrednio w usłudze Microsoft Entra ID:

1. Wdróż usługi Microsoft Entra Domain Services w sieci wirtualnej platformy Azure i rozszerz schemat , aby uwzględnić dodatkowe atrybuty wymagane przez aplikacje.

2. Lift and shift legacy apps to VMs on the Azure virtual network that are domain-joined to Microsoft Entra Domain Services (Przenoszenie starszych aplikacji do maszyn wirtualnych platformy Azure, które są przyłączone do domeny w usługach Microsoft Entra Domain Services).

3. Publikowanie starszych aplikacji w chmurze przy użyciu serwera proxy aplikacji Microsoft Entra lub bezpiecznego partnera dostępu hybrydowego.

4. W miarę wycofywania starszych aplikacji przez proces likwidacji usług Microsoft Entra Domain Services działających w sieci wirtualnej platformy Azure.

Uwaga

• Użyj usług Microsoft Entra Domain Services, jeśli zależności są dostosowane do typowych scenariuszy wdrażania dla usług Microsoft Entra Domain Services.
• Aby sprawdzić, czy usługi Microsoft Entra Domain Services są dobrym rozwiązaniem, możesz użyć narzędzi takich jak Service Map w witrynie Azure Marketplace i automatyczne mapowanie zależności za pomocą map usługi i map na żywo.
• Sprawdź, czy wystąpienia programu SQL Server można migrować do innej domeny. Jeśli usługa SQL jest uruchomiona na maszynach wirtualnych, skorzystaj z tych wskazówek.

Sposób 2

Jeśli pierwsze podejście nie jest możliwe, a aplikacja ma silną zależność od usługi Active Directory, możesz rozszerzyć lokalna usługa Active Directory na usługę Azure IaaS.

Możesz ponownie utworzyć platformę w celu obsługi nowoczesnego hostingu bezserwerowego — na przykład użyj platformy jako usługi (PaaS). Możesz też zaktualizować kod w celu obsługi nowoczesnego uwierzytelniania. Możesz również włączyć aplikację do bezpośredniej integracji z identyfikatorem Entra firmy Microsoft. Dowiedz się więcej o bibliotece uwierzytelniania firmy Microsoft w Platforma tożsamości Microsoft.

1. Połącz sieć wirtualną platformy Azure z siecią lokalną za pośrednictwem wirtualnej sieci prywatnej (VPN) lub usługi Azure ExpressRoute.

2. Wdróż nowe kontrolery domeny dla wystąpienia lokalna usługa Active Directory jako maszyny wirtualne w sieci wirtualnej platformy Azure.

3. Lift and shift starsze aplikacje do maszyn wirtualnych w sieci wirtualnej platformy Azure, które są przyłączone do domeny.

4. Publikowanie starszych aplikacji w chmurze przy użyciu serwera proxy aplikacji Microsoft Entra lub bezpiecznego partnera dostępu hybrydowego.

5. Ostatecznie zlikwidowanie infrastruktury lokalna usługa Active Directory i całkowite uruchomienie usługi Active Directory w sieci wirtualnej platformy Azure.

6. W miarę wycofywania starszych aplikacji po zakończeniu likwidacji wystąpienia usługi Active Directory uruchomionego w sieci wirtualnej platformy Azure.

Podejście 3

Jeśli pierwsza migracja nie jest możliwa, a aplikacja ma silną zależność od usługi Active Directory, możesz wdrożyć nowe wystąpienie usługi Active Directory w usłudze Azure IaaS. Pozostaw aplikacje jako starsze aplikacje w najbliższej przyszłości lub wycoń je, gdy pojawi się szansa.

Takie podejście umożliwia oddzielenie aplikacji od istniejącego wystąpienia usługi Active Directory w celu zmniejszenia obszaru powierzchni. Zalecamy, aby rozważyć to tylko jako ostateczność.

1. Wdróż nowe wystąpienie usługi Active Directory jako maszyny wirtualne w sieci wirtualnej platformy Azure.

2. Przenieś starsze aplikacje na maszyny wirtualne w sieci wirtualnej platformy Azure, które są przyłączone do domeny w nowym wystąpieniu usługi Active Directory.

3. Publikowanie starszych aplikacji w chmurze przy użyciu serwera proxy aplikacji Microsoft Entra lub bezpiecznego partnera dostępu hybrydowego.

4. W miarę wycofywania starszych aplikacji po zakończeniu likwidacji wystąpienia usługi Active Directory uruchomionego w sieci wirtualnej platformy Azure.

Porównanie strategii

Strategia	Usługi domenowe Microsoft Entra	Rozszerzanie usługi Active Directory na IaaS	Niezależne wystąpienie usługi Active Directory w usłudze IaaS
Oddzielenie od lokalna usługa Active Directory	Tak	Nie	Tak
Zezwalanie na rozszerzenia schematu	Nie.	Tak	Tak
Pełna kontrola administracyjna	Nie.	Tak	Tak
Potencjalna ponowna konfiguracja wymaganych aplikacji (na przykład listy ACL lub autoryzacja)	Tak	Nie	Tak

Przenoszenie uwierzytelniania sieci VPN

Ten projekt koncentruje się na przeniesieniu uwierzytelniania sieci VPN do identyfikatora Entra firmy Microsoft. Ważne jest, aby wiedzieć, że różne konfiguracje są dostępne dla połączeń bramy sieci VPN. Należy określić, która konfiguracja najlepiej odpowiada Twoim wymaganiom. Aby uzyskać więcej informacji na temat projektowania rozwiązania, zobacz Projekt bramy sieci VPN.

Poniżej przedstawiono kluczowe kwestie dotyczące użycia identyfikatora entra firmy Microsoft na potrzeby uwierzytelniania sieci VPN:

• Sprawdź, czy dostawcy sieci VPN obsługują nowoczesne uwierzytelnianie. Na przykład:

  • Samouczek: integracja usługi Microsoft Entra SSO z aplikacją Cisco Secure Firewall — bezpieczny klient

  • Samouczek: integracja aplikacji Microsoft Entra SSO z aplikacją Palo Alto Networks GlobalProtect

• W przypadku urządzeń z systemem Windows 10 rozważ zintegrowanie obsługi firmy Microsoft Entra z wbudowanym klientem sieci VPN.

• Po dokonaniu oceny tego scenariusza możesz zaimplementować rozwiązanie, aby usunąć zależność ze środowiskiem lokalnym w celu uwierzytelnienia w sieci VPN.

Przenoszenie dostępu zdalnego do aplikacji wewnętrznych

Aby uprościć środowisko, możesz użyć serwera proxy aplikacji microsoft Entra lub bezpiecznych partnerów dostępu hybrydowego w celu zapewnienia dostępu zdalnego. Dzięki temu można usunąć zależność od lokalnych rozwiązań zwrotnego serwera proxy.

Należy wspomnieć, że umożliwienie dostępu zdalnego do aplikacji przy użyciu powyższych technologii jest krokiem przejściowym. Należy wykonać więcej pracy, aby całkowicie rozdzielić aplikację z usługi Active Directory.

Usługi Microsoft Entra Domain Services umożliwiają migrowanie serwerów aplikacji do chmury IaaS i oddzielenie od usługi Active Directory przy użyciu serwera proxy aplikacji Entra firmy Microsoft w celu włączenia dostępu zdalnego. Aby dowiedzieć się więcej na temat tego scenariusza, zobacz Deploy Microsoft Entra application proxy for Microsoft Entra Domain Services (Wdrażanie serwera proxy aplikacji Firmy Microsoft Entra dla usług Microsoft Entra Domain Services).

Następne kroki

• Wprowadzenie
• Stan transformacji chmury
• Ustanawianie śladu firmy Microsoft Entra
• Implementowanie podejścia opartego na chmurze