Udostępnij za pośrednictwem

Stan transformacji chmury

  • Artykuł

Usługi Active Directory, Microsoft Entra ID i inne narzędzia firmy Microsoft są podstawą zarządzania tożsamościami i dostępem (IAM). Na przykład usługi domena usługi Active Directory Services (AD DS) i Microsoft Configuration Manager zapewniają zarządzanie urządzeniami w usłudze Active Directory. W usłudze Microsoft Entra ID usługa Intune zapewnia tę samą możliwość.

W ramach większości inicjatyw modernizacji, migracji lub zero trustów organizacje przenoszą działania zarządzania dostępem i tożsamościami z używania rozwiązań lokalnych lub infrastruktury jako usługi (IaaS) do korzystania z wbudowanych rozwiązań dla chmury. W przypadku środowiska IT, które korzysta z produktów i usług firmy Microsoft, usługa Active Directory i identyfikator Entra firmy Microsoft odgrywają rolę.

Wiele firm, które przeprowadzają migrację z usługi Active Directory do usługi Microsoft Entra ID, zaczynają się od środowiska podobnego do poniższego diagramu. Diagram nakłada trzy filary:

  • Aplikacje: obejmuje aplikacje, zasoby i ich podstawowe serwery przyłączone do domeny.

  • Urządzenia: koncentruje się na urządzeniach klienckich przyłączonych do domeny.

  • Użytkownicy i grupy: reprezentuje tożsamości człowieka i obciążenia oraz atrybuty na potrzeby dostępu do zasobów i członkostwa w grupach na potrzeby tworzenia ładu i zasad.

Architectural diagram that depicts the common technologies contained in the pillars of applications, devices, and users.

Firma Microsoft modelowała pięć stanów transformacji, które często są zgodne z celami biznesowymi klientów. W miarę dojrzewania celów klientów typowe jest przejście od jednego stanu do następnego w tempie odpowiadającym ich zasobom i kulturze.

Pięć stanów ma kryteria wyjścia, aby ułatwić określenie, gdzie znajduje się obecnie środowisko. Niektóre projekty, takie jak migracja aplikacji, obejmują wszystkie pięć stanów. Inne projekty obejmują jeden stan.

Następnie zawartość zawiera bardziej szczegółowe wskazówki, które są zorganizowane w celu ułatwienia umyślnych zmian osób, procesów i technologii. Wskazówki mogą pomóc:

  • Ustanów ślad firmy Microsoft Entra.

  • Zaimplementuj podejście oparte na chmurze.

  • Rozpocznij migrację ze środowiska usługi Active Directory.

Wskazówki są zorganizowane według zarządzania użytkownikami, zarządzania urządzeniami i zarządzania aplikacjami zgodnie z poprzednimi filarami.

Organizacje utworzone w firmie Microsoft Entra, a nie w usłudze Active Directory, nie mają starszego środowiska lokalnego, z którymi muszą zmagać się bardziej ugruntowane organizacje. W przypadku nich lub dla klientów, którzy całkowicie ponownie tworzą swoje środowisko IT w chmurze, staje się 100% skoncentrowane na chmurze może się zdarzyć w miarę tworzenia nowego środowiska IT.

W przypadku klientów, którzy mają ustanowioną lokalną funkcję IT, proces transformacji wprowadza złożoność, która wymaga starannego planowania. Ponadto, ponieważ usługi Active Directory i Microsoft Entra ID są oddzielnymi produktami przeznaczonymi dla różnych środowisk IT, nie mają takich funkcji jak w przypadku. Na przykład identyfikator Entra firmy Microsoft nie ma pojęcia domeny usługi Active Directory i zaufania lasu.

Pięć stanów transformacji

W organizacjach wielkości przedsiębiorstwa transformacja IAM, a nawet transformacja z usługi Active Directory do identyfikatora Entra firmy Microsoft, jest zwykle wieloletnim nakładem pracy z wieloma stanami. Przeanalizujesz środowisko, aby określić bieżący stan, a następnie ustawisz cel dla następnego stanu. Twój cel może całkowicie usunąć konieczność korzystania z usługi Active Directory lub nie zdecydować się na migrację niektórych możliwości do identyfikatora Entra firmy Microsoft i pozostawienie go na miejscu.

Stany logicznie grupuje inicjatywy w projekty w kierunku ukończenia transformacji. Podczas przechodzenia stanu należy umieścić tymczasowe rozwiązania. Rozwiązania tymczasowe umożliwiają środowisku IT obsługę operacji zarządzania dostępem i tożsamościami w usługach Active Directory i Microsoft Entra ID. Rozwiązania tymczasowe muszą również umożliwić współdziałanie obu środowisk.

Na poniższym diagramie przedstawiono pięć stanów:

Diagram that shows five network architectures: cloud attached, hybrid, cloud first, Active Directory minimized, and 100% cloud.

Uwaga

Stany na tym diagramie reprezentują logiczny postęp transformacji chmury. Możliwość przejścia z jednego stanu do następnego zależy od zaimplementowanych funkcji i możliwości w ramach tej funkcji w celu przejścia do chmury.

Stan 1: Chmura dołączona

W stanie dołączonym do chmury organizacje utworzyły dzierżawę firmy Microsoft Entra, aby umożliwić użytkownikom produktywność i narzędzia do współpracy. Dzierżawa jest w pełni operacyjna.

Większość firm korzystających z produktów i usług firmy Microsoft w swoim środowisku IT jest już w tym stanie lub poza nią. W tym stanie koszty operacyjne mogą być wyższe, ponieważ istnieje środowisko lokalne i środowisko chmury do obsługi i wprowadzania interakcyjnych. Osoby musi mieć wiedzę w obu środowiskach, aby wspierać swoich użytkowników i organizację.

W tym stanie:

  • Urządzenia są przyłączone do usługi Active Directory i zarządzane za pomocą zasad grupy lub lokalnych narzędzi do zarządzania urządzeniami.
  • Użytkownicy są zarządzani w usłudze Active Directory, aprowizowani za pośrednictwem lokalnych systemów zarządzania tożsamościami (IDM) i synchronizowani z usługą Microsoft Entra ID za pośrednictwem usługi Microsoft Entra Połączenie.
  • Aplikacje są uwierzytelniane w usłudze Active Directory i na serwerach federacyjnych, takich jak Active Directory Federation Services (AD FS), za pomocą narzędzia do zarządzania dostępem do internetu (WAM), platformy Microsoft 365 lub innych narzędzi, takich jak SiteMinder i Oracle Access Manager.

Stan 2: Hybryda

W stanie hybrydowym organizacje zaczynają rozszerzać swoje środowisko lokalne za pomocą możliwości chmury. Rozwiązania można zaplanować, aby zmniejszyć złożoność, zwiększyć poziom zabezpieczeń i zmniejszyć ślad środowiska lokalnego.

Podczas przechodzenia i działania w tym stanie organizacje rozwijają umiejętności i wiedzę na temat używania identyfikatora Entra firmy Microsoft dla rozwiązań IAM. Ponieważ konta użytkowników i załączniki urządzeń są stosunkowo łatwe i często używane w codziennych operacjach IT, większość organizacji użyła tego podejścia.

W tym stanie:

  • Klienci systemu Windows są przyłączeni hybrydową firmą Microsoft Entra.

  • Platformy innych niż Microsoft oparte na oprogramowaniu jako usłudze (SaaS) zaczynają być zintegrowane z identyfikatorem Entra firmy Microsoft. Przykłady to Salesforce i ServiceNow.

  • Starsze aplikacje uwierzytelniają się w usłudze Microsoft Entra ID za pośrednictwem serwer proxy aplikacji lub rozwiązań partnerskich, które oferują bezpieczny dostęp hybrydowy.

  • Samoobsługowe resetowanie haseł (SSPR) i ochrona haseł dla użytkowników są włączone.

  • Niektóre starsze aplikacje są uwierzytelniane w chmurze za pośrednictwem usług Microsoft Entra Domain Services i serwer proxy aplikacji.

Stan 3: Najpierw chmura

W stanie chmury zespoły w całej organizacji tworzą rekord sukcesu i zaczynają planować przenoszenie bardziej trudnych obciążeń do identyfikatora Entra firmy Microsoft. Organizacje zwykle spędzają najwięcej czasu w tym stanie transformacji. W miarę złożoności liczba obciążeń i korzystanie z usługi Active Directory rośnie wraz z upływem czasu, organizacja musi zwiększyć nakład pracy i liczbę inicjatyw, aby przenieść się do chmury.

W tym stanie:

  • Nowi klienci systemu Windows są dołączani do identyfikatora Entra firmy Microsoft i są zarządzani za pośrednictwem usługi Intune.
  • Łączniki ECMA służą do aprowizowania użytkowników i grup dla aplikacji lokalnych.
  • Wszystkie aplikacje, które wcześniej używały zintegrowanego dostawcy tożsamości federacyjnej usług AD DS, takiego jak usługi AD FS, są aktualizowane pod kątem używania identyfikatora Entra firmy Microsoft do uwierzytelniania. Jeśli użyto uwierzytelniania opartego na hasłach za pośrednictwem tego dostawcy tożsamości dla identyfikatora Entra firmy Microsoft, zostanie ono zmigrowane do synchronizacji skrótów haseł.
  • Plany przeniesienia usług plików i drukowania do identyfikatora Entra firmy Microsoft są opracowywane.
  • Microsoft Entra ID zapewnia możliwość współpracy między firmami (B2B).
  • Nowe grupy są tworzone i zarządzane w identyfikatorze Entra firmy Microsoft.

Stan 4. Zminimalizowanie usługi Active Directory

Identyfikator entra firmy Microsoft zapewnia większość możliwości zarządzania dostępem i tożsamościami, natomiast przypadki brzegowe i wyjątki nadal korzystają z lokalna usługa Active Directory. Stan minimalizacji usługi Active Directory jest trudniejszy do osiągnięcia, zwłaszcza w przypadku większych organizacji, które mają znaczne zadłużenie techniczne w środowisku lokalnym.

Microsoft Entra ID nadal ewoluuje w miarę dojrzewania transformacji organizacji, wprowadzając nowe funkcje i narzędzia, których można użyć. Organizacje muszą przestarzać możliwości lub tworzyć nowe możliwości w celu zapewnienia zastąpienia.

W tym stanie:

  • Nowi użytkownicy aprowizowani za pośrednictwem funkcji aprowizacji hr są tworzone bezpośrednio w identyfikatorze Entra firmy Microsoft.

  • Plan przenoszenia aplikacji, które zależą od usługi Active Directory i są częścią wizji przyszłego środowiska Firmy Microsoft Entra, jest wykonywany. Plan zastąpienia usług, które nie zostaną przeniesione (usługi plików, wydruku lub faksów) są w miejscu.

  • Obciążenia lokalne zostały zastąpione alternatywami chmury, takimi jak Windows Virtual Desktop, Azure Files lub Universal Print. Usługa Azure SQL Managed Instance zastępuje program SQL Server.

Stan 5: 100% chmury

W stanie 100%-chmura identyfikator Firmy Microsoft i inne narzędzia platformy Azure zapewniają wszystkie możliwości zarządzania dostępem i tożsamościami. Ten stan jest długoterminowym aspiracją wielu organizacji.

W tym stanie:

  • Lokalne zarządzanie dostępem i tożsamościami nie jest wymagane.

  • Wszystkie urządzenia są zarządzane w usłudze Microsoft Entra ID i rozwiązaniach w chmurze, takich jak usługa Intune.

  • Cykl życia tożsamości użytkownika jest zarządzany za pomocą identyfikatora Entra firmy Microsoft.

  • Wszyscy użytkownicy i grupy są natywni dla chmury.

  • Usługi sieciowe, które korzystają z usługi Active Directory, są przeniesione.

Analogia transformacji

Transformacja między stanami jest podobna do przenoszenia lokalizacji:

  1. Ustanów nową lokalizację: kupujesz miejsce docelowe i ustanawiasz łączność między bieżącą lokalizacją a nową lokalizacją. Te działania umożliwiają utrzymanie produktywności i możliwości działania. Aby uzyskać więcej informacji, zobacz Ustanawianie śladu firmy Microsoft Entra. Wyniki przechodzą do stanu 2.

  2. Ogranicz nowe elementy w starej lokalizacji: przestań inwestować w starą lokalizację i ustawić zasady w celu przygotowania nowych elementów w nowej lokalizacji. Aby uzyskać więcej informacji, zobacz Implementowanie podejścia opartego na chmurze. Te działania umożliwiają migrację na dużą skalę i osiągnięcie stanu 3.

  3. Przenieś istniejące elementy do nowej lokalizacji: przenosisz elementy ze starej lokalizacji do nowej lokalizacji. Oceniasz wartość biznesową elementów, aby określić, czy przenosisz je w taki sposób, jak to jest, uaktualniasz je, zamieniasz je lub cofniesz. Aby uzyskać więcej informacji, zobacz Przejście do chmury.

    Te działania umożliwiają ukończenie stanu 3 i osiągnięcie stanów 4 i 5. Na podstawie celów biznesowych decydujesz, jaki stan końcowy chcesz kierować.

Transformacja do chmury nie jest tylko obowiązkiem zespołu tożsamości. Organizacja potrzebuje koordynacji między zespołami, aby zdefiniować zasady, które obejmują ludzi i zmiany procesów, wraz z technologią. Zastosowanie skoordynowanego podejścia pomaga zapewnić spójny postęp i zmniejszyć ryzyko regresji w rozwiązaniach lokalnych. Zaangażuj zespoły, które zarządzają:

  • Urządzenia/punkty końcowe
  • Sieci
  • Bezpieczeństwo/ryzyko
  • Właściciele aplikacji
  • Zasoby ludzkie
  • Współpraca
  • Zaopatrzenie
  • Operations

Podróż wysokiego poziomu

Ponieważ organizacje rozpoczynają migrację tożsamości i tożsamości do firmy Microsoft Entra ID, muszą określić priorytetyzację wysiłków na podstawie ich konkretnych potrzeb. Pracownicy operacyjni i pracownicy pomocy technicznej muszą być przeszkoleni w celu wykonywania swoich zadań w nowym środowisku. Na poniższym wykresie przedstawiono ogólną podróż do migracji z usługi Active Directory do identyfikatora Entra firmy Microsoft:

Chart that shows three major milestones in migrating from Active Directory to Microsoft Entra ID: establish Microsoft Entra capabilities, implement a cloud-first approach, and move workloads to the cloud.

  • Ustanów ślad firmy Microsoft Entra: zainicjuj nową dzierżawę firmy Microsoft Entra, aby obsługiwać wizję wdrożenia stanu końcowego. Wdrożenie podejścia Zero Trust i modelu zabezpieczeń, który pomaga chronić dzierżawę przed naruszeniem zabezpieczeń lokalnych na wczesnym etapie podróży.

  • Implementowanie podejścia opartego na chmurze: ustanów zasady, które powinny być najpierw oparte na chmurze dla wszystkich nowych urządzeń, aplikacji i usług. Nowe aplikacje i usługi korzystające ze starszych protokołów (na przykład NTLM, Kerberos lub LDAP) powinny być tylko wyjątkami.

  • Przejście do chmury: zmiana zarządzania i integracji użytkowników, aplikacji i urządzeń z dala od środowiska lokalnego i ponad do alternatywnych rozwiązań w chmurze. Zoptymalizuj aprowizację użytkowników, korzystając z możliwości aprowizacji opartych na chmurze, które integrują się z identyfikatorem Entra firmy Microsoft.

Transformacja zmienia sposób, w jaki użytkownicy wykonują zadania i jak zespoły pomocy technicznej zapewniają pomoc techniczną dla użytkowników. Organizacja powinna projektować i wdrażać inicjatywy lub projekty w taki sposób, aby zminimalizować wpływ na produktywność użytkowników.

W ramach transformacji organizacja wprowadza samoobsługowe funkcje zarządzania dostępem i tożsamościami. Niektóre części pracowników łatwiej dostosować się do środowiska użytkownika samoobsługi, które jest powszechne w firmach opartych na chmurze.

Konieczne może być zaktualizowanie lub zastąpienie starzejących się aplikacji w celu zapewnienia dobrego działania w środowiskach IT opartych na chmurze. Aktualizacje aplikacji lub zamienniki mogą być kosztowne i czasochłonne. Planowanie i inne etapy muszą również uwzględniać wiek i możliwości aplikacji organizacji.

Następne kroki