Postura de transformação na nuvem
O Active Directory, o Microsoft Entra ID e outras ferramentas da Microsoft estão no centro do IAM (Gerenciamento de Identidade e Acesso). Por exemplo, o AD DS (Active Directory Domain Services) e o Microsoft Configuration Manager fornecem gerenciamento de dispositivo no Active Directory. No Microsoft Entra ID, o Intune fornece a mesma funcionalidade.
Como parte da maioria das iniciativas de modernização, migração ou Confiança Zero, as organizações mudam as atividades de IAM do uso de soluções locais ou de infraestrutura como serviço (IaaS) para o uso de soluções criadas para a nuvem. Para um ambiente de TI que usa produtos e serviços da Microsoft, o Active Directory e o Microsoft Entra ID desempenham um papel.
Muitas empresas que migram do Active Directory para o Microsoft Entra ID começam com um ambiente semelhante ao diagrama a seguir. O diagrama também sobrepõe três pilares:
Aplicativos: inclui os aplicativos, recursos e os servidores conectados ao domínio subjacentes.
Dispositivos: concentra-se em dispositivos do cliente conectados ao domínio.
Usuários e grupos: representa identidades e atributos humanos e de carga de trabalho para acesso a recursos e associação de grupo para governança e criação de políticas.
A Microsoft modelou cinco estados de transformação que normalmente se alinham às metas de negócios de nossos clientes. À medida que as metas dos clientes amadurecem, é comum que eles mudem de um estado para o outro em um ritmo adequado à alocação de recursos e à cultura deles.
Os cinco estados têm critérios de saída para ajudar você a determinar onde seu ambiente reside hoje. Alguns projetos, como a migração de aplicativos, abrangem todos os cinco estados. Outros projetos abrangem um único estado.
O conteúdo fornece diretrizes mais detalhadas organizadas para ajudar com alterações intencionais as pessoas, no processo e na tecnologia. As diretrizes podem ajudar você a:
Estabelecer um volume do Microsoft Entra.
Implementar uma abordagem com foco na nuvem.
Começar a migrar para fora do ambiente do Active Directory.
A diretriz é organizada por gerenciamento de usuários, gerenciamento de dispositivos e gerenciamento de aplicativos de acordo com os pilares anteriores.
As organizações formadas no Microsoft Entra, em vez de no Active Directory, não têm o ambiente local herdado que as organizações mais estabelecidas devem enfrentar. Para elas, ou para os clientes que estão recriando completamente o ambiente de TI deles na nuvem, tornar-se 100% centrado na nuvem pode acontecer à medida que o novo ambiente de TI for estabelecido.
Para clientes com funcionalidade de TI local estabelecida, o processo de transformação introduz complexidade que requer um planejamento cuidadoso. Além disso, como o Active Directory e Microsoft Entra ID são produtos separados direcionados a diferentes ambientes de TI, eles não têm recursos semelhantes. Por exemplo, o Microsoft Entra ID não tem a noção de relações de confiança de domínio e floresta do Active Directory.
Cinco estados de transformação
Em organizações de porte empresarial, a transformação de IAM, ou até mesmo a transformação do Active Directory no Microsoft Entra ID, normalmente é um esforço de vários anos, com vários estados. Você analisa seu ambiente para determinar seu estado atual e, em seguida, define uma meta para o próximo estado. Sua meta pode remover totalmente a necessidade do Active Directory, ou você pode optar por não migrar alguma funcionalidade para o Microsoft Entra ID e deixá-la no local.
Os estados agrupam logicamente iniciativas em projetos para concluir uma transformação. Durante as transições de estado você coloca soluções provisórias em prática. As soluções provisórias permitem que o ambiente de TI dê suporte a operações de IAM no Active Directory e no Microsoft Entra ID. As soluções provisórias também devem permitir que os dois ambientes interoperem.
O diagrama a seguir mostra os cinco estados:
Observação
Os estados neste diagrama representam uma progressão lógica da transformação na nuvem. Sua capacidade de migrar de um estado para o outro depende da funcionalidade que você implementou e dos recursos dentro dessa funcionalidade para migrar para a nuvem.
Estado 1: anexado em nuvem
No estado anexado em nuvem, as organizações criaram um locatário do Microsoft Entra para habilitar as ferramentas de colaboração e produtividade do usuário. O locatário é totalmente operacional.
A maioria das empresas que usa produtos e serviços da Microsoft em seu ambiente de TI já está nesse estado ou já passou dele. Nesse estado, os custos operacionais podem ser mais altos porque há um ambiente local e um ambiente de nuvem para ser mantido e continuar interativo. As pessoas precisam ter experiência em ambos os ambientes para dar suporte aos usuários e à organização.
Nesse estado:
- Os dispositivos são associados ao Active Directory e gerenciados por meio de Política de Grupo ou ferramentas de gerenciamento de dispositivos locais.
- Os usuários são gerenciados no Active Directory, provisionados por meio de sistemas IDM (Gerenciamento de Identidades) locais e sincronizados com o Microsoft Entra ID usando o Microsoft Entra Connect.
- Os aplicativos são autenticados no Active Directory e em servidores de federação como AD FS (Serviços de Federação do Active Directory), por meio de uma ferramenta WAM (Gerenciamento de Acesso à Web), Microsoft 365 ou outras ferramentas, como o SiteMinder e o Oracle Access Manager.
Estado 2: híbrido
No estado híbrido, as organizações começam a aprimorar o ambiente local por meio de funcionalidades de nuvem. As soluções podem ser planejadas para reduzir a complexidade, aumentar a postura de segurança e reduzir o volume do ambiente local.
Durante a transição e a operação nesse estado, as organizações expandem as habilidades e a experiência usando o Microsoft Entra ID para soluções de IAM. Como as contas de usuário e os anexos de dispositivo são relativamente fáceis e uma parte comum das operações de TI cotidianas, a maioria das organizações já usou esta abordagem.
Nesse estado:
Os clientes Windows são ingressado no Microsoft Entra híbrido.
Plataformas não Microsoft baseadas em SaaS (software como serviço) começam a ser integradas ao Microsoft Entra ID. Exemplos são Salesforce e ServiceNow.
Os aplicativos herdados estão se autenticando no Microsoft Entra ID por meio do Proxy de Aplicativo ou de soluções de parceiro de acesso híbrido seguro.
A SSPR (redefinição de senha self-service) e a proteção de senha para usuários são habilitadas.
Alguns aplicativos herdados são autenticados na nuvem pelo Microsoft Entra Domain Services e pelo Proxy de Aplicativo.
Estado 3: foco na nuvem
No estado foco na nuvem, as equipes da organização criam um registro de êxito e começam a planejar a migração de cargas de trabalho mais desafiadoras para o Microsoft Entra ID. Normalmente, as organizações gastam mais tempo nesse estado de transformação. À medida que a complexidade, o número de cargas de trabalho e o uso do Active Directory aumentam ao longo do tempo, uma organização precisa aumentar seu esforço e seu número de iniciativas para mudar para a nuvem.
Nesse estado:
- Novos clientes do Windows ingressam no Microsoft Entra ID e são gerenciados com o Intune.
- Conectores de ECMA são usados para provisionar usuários e grupos para aplicativos locais.
- Todos os aplicativos que anteriormente usavam um provedor de identidade federada integrado ao AD DS, como AD FS, são atualizados para usar o Microsoft Entra ID para autenticação. Se você usou a autenticação baseada em senha por meio desse provedor de identidade para Microsoft Entra ID, isso é migrado para a sincronização de hash de senha.
- Estão sendo desenvolvidos planos para migrar serviços de arquivo e impressão para o Microsoft Entra ID.
- O Microsoft Entra ID fornece uma funcionalidade de colaboração B2B (entre empresas).
- Novos grupos são criados e gerenciados no Microsoft Entra ID.
Estado 4: Active Directory minimizado
O Microsoft Entra ID fornece a maioria das funcionalidades de IAM, enquanto os casos de borda e exceções continuam usando o Active Directory local. Um estado de minimização do Active Directory é mais difícil de alcançar, principalmente para organizações maiores que têm uma dívida técnica local significativa.
O Microsoft Entra ID continua evoluindo à medida que a transformação da sua organização amadurece, trazendo novos recursos e ferramentas que você pode usar. As organizações são obrigadas a substituir funcionalidades ou criar funcionalidades para fornecer uma substituição.
Nesse estado:
Novos usuários provisionados usando a funcionalidade de provisionamento de RH são criados diretamente no Microsoft Entra ID.
Está sendo executado um plano para mover aplicativos que dependem do Active Directory e fazem parte da visão do ambiente do Microsoft Entra de estado futuro. Um plano para substituir serviços que não serão movidos (arquivos, impressão, serviços de fax) está em vigor.
As cargas de trabalho locais foram substituídas por alternativas de nuvem, como a Área de Trabalho Virtual do Windows, os Arquivos do Azure e a Impressão Universal. Instância Gerenciada de SQL do Azure e SQL Server.
Estado 5: 100% nuvem
No estado 100% nuvem, o Microsoft Entra ID e outras ferramentas do Azure fornecem toda a funcionalidade de IAM. Esse estado é a aspiração de longo prazo para muitas organizações.
Nesse estado:
Não é necessário nenhum volume de IAM local.
Todos os dispositivos são gerenciados no Microsoft Entra ID e na solução de nuvem, como o Intune.
O ciclo de vida da identidade do usuário é gerenciado por meio do Microsoft Entra ID.
Todos os usuários e grupos são nativos da nuvem.
Os serviços de rede que dependem do Active Directory são realocados.
Analogia de transformação
A transformação entre os estados é semelhante a migrar locais:
Estabelecer um novo local: você compra seu destino e estabelece a conectividade entre o local atual e o novo. Isso permite que você mantenha sua produtividade e a capacidade de operar. Para obter mais informações, consulte Estabelecer um volume do Microsoft Entra. Os resultados fazem a transição para o estado 2.
Limitar novos itens no local antigo: você para de investir no local antigo e define uma política para preparar novos itens no novo local. Para obter mais informações, consulte Implementar uma abordagem com foco na nuvem. As atividades definem a base para fazer a migração em escala e atingir o estado 3.
Mover itens existentes para o novo local: você move itens do local antigo para o novo. Você avalia o valor comercial dos itens para determinar se vai movê-los como estão, atualizá-los, substituí-los ou preteri-los. Para obter mais informações, consulte Transição para a nuvem.
Essas atividades permitem que você conclua o estado 3 e alcance o estado 4 e o estado 5. Com base em seus objetivos de negócios, você decide qual o estado final que você deseja atingir.
A transformação na nuvem não é apenas responsabilidade da equipe de identidade. A organização precisa de coordenação entre as equipes para definir políticas que incluem pessoas e mudanças de processo, juntamente com a tecnologia. O uso de uma abordagem coordenada ajuda a garantir um progresso consistente e reduz o risco de regressão a soluções locais. Envolva equipes que gerenciam:
- Dispositivos/pontos de extremidade
- Redes
- Segurança/risco
- Proprietários de aplicativo
- Recursos Humanos
- Colaboração
- Compras
- Operations
Jornada de alto nível
À medida que as organizações iniciam uma migração do IAM para o Microsoft Entra ID, elas devem determinar a priorização dos esforços com base em suas necessidades específicas. Equipes operacionais e de suporte devem ser treinadas para executar os trabalhos no novo ambiente. O seguinte gráfico mostra a jornada de alto nível para migração do Active Directory para Microsoft Entra ID:
Estabelecer um volume do Microsoft Entra: inicialize seu novo locatário do Microsoft Entra para dar suporte à visão para sua implantação de estado final. Adore uma abordagem Confiança Zero e um modelo de segurança que proteja seu locatário contra comprometimento local no início da sua jornada.
Implementar a abordagem de foco na nuvem: estabeleça uma política que exige que todos os novos dispositivos, aplicativos e serviços devem ter foco na nuvem. Novos aplicativos e serviços que usam protocolos herdados (por exemplo, NTLM, Kerberos ou LDAP) devem ser apenas por exceção.
Transição para a nuvem: mova o gerenciamento e a integração de usuários, aplicativos e dispositivos para longe do local e para outras alternativas com foco na nuvem. Otimize o provisionamento de usuários aproveitando as funcionalidades de provisionamento com foco em nuvem que se integram ao Microsoft Entra ID.
A transformação altera a forma como os usuários realizam tarefas e como as equipes de suporte fornecem suporte ao usuário. A organização deve projetar e implementar iniciativas ou projetos de maneira a minimizar o impacto na produtividade do usuário.
Como parte da transformação, a organização introduz recursos de IAM de autoatendimento. Algumas partes da força de trabalho se adaptam mais facilmente ao ambiente de usuário de autoatendimento que prevalece em empresas baseadas em nuvem.
Aplicativos antigos podem precisar ser atualizados ou substituídos para funcionar bem em ambientes de TI baseados em nuvem. As atualizações ou substituições do aplicativo podem ser caras e demoradas. O planejamento e outras etapas também devem levar em consideração a idade e a capacidade das aplicações da organização.